Android 恶意软件在规模上融合投放器、短信窃取与 RAT 功能

2025/12/22 恶意软件 The Hacker News

威胁行为者被观察到利用伪装成合法应用的恶意投放器（dropper）应用，向乌兹别克斯坦用户的移动攻击中投放名为 Wonderland 的 Android 短信窃取工具。

“此前，用户收到的‘纯净’特洛伊 APK 在安装后即刻表现为恶意软件，”Group-IB 在上周发布的分析中说。 “现在，攻击者越来越多地部署伪装成合法应用的投放器。表面看似无害的投放器内置恶意负载，安装后会在本地部署——即使没有活跃的互联网连接。”

根据这家总部位于新加坡的网络安全公司，Wonderland（前身为 WretchedCat）能够实现双向指挥控制（C2）通信，实时执行命令，支持任意 USSD 请求和短信窃取。它伪装成 Google Play，或伪装成视频、照片、婚礼邀请函等其他文件格式。

该金融驱动型威胁组织 TrickyWonders 使用 Telegram 作为主要平台协调操作。该恶意软件于 2023 年 11 月首次被发现，还关联了两个用于隐藏主加密负载的投放器家族——

Wonderland 主要通过伪造的 Google Play 商店页面、Facebook 广告活动、约会应用中的虚假账号以及 Telegram 等聊天工具传播。攻击者还利用在暗网市场上出售的乌兹别克用户被盗的 Telegram 会话，将 APK 文件分发给受害者的联系人和聊天。

一旦恶意软件被安装，它即可访问短信并拦截一次性密码（OTP），犯罪组织利用这些 OTP 从受害者的银行卡中 siphon 资金。其他功能包括获取电话号码、导出联系人列表、隐藏推送通知以抑制安全或 OTP 警报，甚至从被感染设备发送短信以实现横向移动。

然而，需要指出的是，首次侧加载该应用必须让用户启用“允许未知来源安装”的设置。这是通过显示一个更新页面提示用户“安装更新以使用应用”实现的。

“当受害者安装 APK 并授予权限后，攻击者劫持电话号码并尝试登录与该号码注册的 Telegram 账户，”Group-IB 说。 “如果登录成功，分发过程会重复，形成循环感染链。”

Wonderland 代表了乌兹别克斯坦移动恶意软件的最新演进，已从早期的 Ajina.Banker 等依赖大规模垃圾邮件的粗放型恶意软件，转向更具混淆性的 Qwizzserial 等伪装为看似无害的媒体文件的变种。

投放器应用的使用具有策略意义，因为它们看似无害，能够规避安全检测。投放器和短信窃取组件均经过高度混淆，并加入反分析技巧，使逆向工程更为困难且耗时。

双向 C2 通信的使用使得恶意软件从被动的短信窃取者转变为能够执行服务器下发的任意 USSD 请求的主动远程控制代理。

“支撑基础设施也变得更加动态和弹性，”研究人员说。 “运营者使用快速变更的域名，每个域名仅用于有限的构建集，然后即被替换。这种做法增加了监控难度，破坏基于黑名单的防御，并延长了 C2 通道的寿命。”

恶意 APK 构建是通过专用的 Telegram 机器人生成的，然后由被称为“worker”的威胁行为者分发，以换取被盗资金的分成。每个构建都关联唯一的 C2 域名，确保单点摘除不会导致整个攻击基础设施瘫痪。

该犯罪集团还包括集团所有者、开发者和 vbivers（验证被盗卡信息者）。这种层级结构体现了金融欺诈运营的成熟化。

“该地区新一波的恶意软件开发清晰表明，针对 Android 设备的攻击手段不仅在变得更加精细——它们正以惊人的速度演进，”Group-IB 说。攻击者正在积极调整工具，采用新的分发方式、隐匿手段，并保持对被感染设备的控制。

此次披露恰逢新型 Android 恶意软件的出现，例如 Cellik、Frogblight 和 NexusRoute，这些恶意软件能够从被攻陷的设备中收集敏感信息。

Cellik 在暗网的起始售价为每月 150 美元或一次性 900 美元，具备实时屏幕流媒体、按键记录、远程摄像头/麦克风访问、数据擦除、隐藏网页浏览、通知拦截以及应用覆盖以窃取凭证等功能。

该特洛伊最令人不安的特性是“一键 APK 构建器”，允许客户在合法的 Google Play 应用中捆绑恶意负载进行分发。

“通过其控制界面，攻击者可以浏览整个 Google Play 商店目录，选择合法应用进行捆绑，”iVerify 的 Daniel Kelley 表示。 “只需点击一次，Cellik 就会生成一个新的恶意 APK，将 RAT 包裹在所选合法应用内部。”

Frogblight 则被发现通过 SMS 钓鱼信息针对土耳其用户，诱导受害者以查看法院文件为名安装 malware。

除通过 WebView 窃取银行凭证外，Frogblight 还能收集短信、通话记录、已安装应用列表以及设备文件系统信息。它还能管理联系人并发送任意短信。

Frogblight 被认为正处于活跃开发阶段，背后的威胁行为者正为其打造基于 Malware-as-a-Service（MaaS）模式的业务。该评估基于在 C2 服务器上发现的 Web 面板，以及只有使用相同密钥登录 Web 面板的样本才能被远程控制的事实。

Cellik、Frogblight 等恶意软件家族体现了 Android 恶意软件的增长趋势，即使是技术水平有限的攻击者也能以最小的努力在大规模上运行移动攻击。

最近几周，印度的 Android 用户也遭到名为 NexusRoute 的恶意软件攻击，该软件利用冒充印度政府服务的钓鱼门户，将访客重定向至托管在 GitHub 仓库和 GitHub Pages 上的恶意 APK，同时收集个人和金融信息。

这些伪造站点旨在感染 Android 设备，植入高度混淆的远程访问特洛伊（RAT），能够窃取手机号码、车辆数据、UPI PIN、OTP 与卡信息，并通过滥用可访问性服务和设置为默认主屏幕启动器来大量收集数据。

“威胁行为者日益利用政府品牌、支付工作流和公民服务门户，以合法的外观部署金融驱动的恶意软件和钓鱼攻击，”CYFIRMA 表示。 “该恶意软件执行 SMS 拦截、SIM 配置分析、联系人窃取、通话记录收集、文件访问、屏幕截图、麦克风激活以及 GPS 跟踪。”

对嵌入的邮箱地址 “gymkhana.studio@gmail[.]com” 的进一步分析将 NexusRoute 与更广阔的地下开发生态系统关联，暗示其是一个专业维护的、大规模欺诈与监视基础设施的一部分。

“NexusRoute 活动代表了一个高度成熟、专业工程化的移动网络犯罪行动，融合了钓鱼、恶意软件、金融欺诈与监视为一体的统一攻击框架，”该公司称。 “原生级混淆、动态加载器、自动化基础设施以及集中化的监视控制，使得该活动远超普通诈骗行为者的能力。”