Аналитики Group-IB сообщили о появлении нового вредоносного ПО для Android под названием Wonderland. Это СМС-стилер, который распространяется через зараженные дропперы, замаскированные под легитимные приложения, передает Sports.kz со ссылкой на Oxu.Az.

Как пишет , если ранее злоумышленники рассылали APK-файлы и вынуждали пользователей устанавливать их вручную, получая доступ к устройству, то теперь применяется более скрытная схема.

Как отмечают специалисты, вредоносная нагрузка встраивается на первый взгляд в безобидные программы. При этом компонент malware может быть установлен даже без подключения к интернету.

Согласно данным Group-IB, пользователь видит лишь уведомление о необходимости обновить уже установленное приложение. После такого «обновления» Wonderland получает доступ к СМС-сообщениям и одноразовым паролям.

Наличие двустороннего канала связи позволяет операторам зловреда в реальном времени управлять его действиями, включая отправку USSD-команд.

Эксперты также указывают, что вредоносный код может быть спрятан внутри изображений или маскироваться под сервисы Google Play. Сразу после установки зловред начинает перехватывать OTP-коды, что открывает злоумышленникам доступ к банковским операциям жертв и позволяет похищать средства с их карт.

По оценкам Group-IB, за распространением Wonderland, вероятно, стоит группировка TrickyWonders, координирующая свои действия через Telegram. Похищенные пользовательские сессии впоследствии продаются на площадках дарквеба.