Các tác nhân đe dọa đã được phát hiện lợi dụng các ứng dụng dropper độc hại giả mạo ứng dụng hợp pháp để phát tán mã độc đánh cắp SMS trên Android có tên Wonderland trong các cuộc tấn công di động nhắm vào người dùng ở Uzbekistan.
"Trước đây, người dùng nhận được các tập tin APK Trojan 'thuần túy' hoạt động như mã độc ngay sau khi cài đặt," Group-IB cho biết trong một phân tích được công bố vào tuần trước. "Hiện nay, các đối thủ ngày càng triển khai các dropper được ngụy trang thành ứng dụng hợp pháp. Dropper trông có vẻ vô hại trên bề mặt nhưng chứa một payload độc hại tích hợp, được triển khai cục bộ sau khi cài đặt – ngay cả khi không có kết nối internet."
Wonderland (trước đây là WretchedCat), theo công ty an ninh mạng có trụ sở tại Singapore, tạo điều kiện cho giao tiếp command-and-control (C2) hai chiều để thực thi các lệnh theo thời gian thực, cho phép thực hiện các yêu cầu USSD tùy ý và đánh cắp SMS. Nó giả mạo Google Play, hoặc các định dạng tệp khác, như video, ảnh và thiệp mời đám cưới.
Tác nhân đe dọa có động cơ tài chính đằng sau mã độc này, TrickyWonders, lợi dụng Telegram làm nền tảng chính để điều phối các khía cạnh khác nhau của hoạt động. Được phát hiện lần đầu vào tháng 11 năm 2023, nó cũng được cho là có liên quan đến hai họ mã độc dropper được thiết kế để che giấu payload được mã hóa chính:
- MidnightDat (lần đầu được phát hiện vào ngày 27 tháng 8 năm 2025)
- RoundRift (lần đầu được phát hiện vào ngày 15 tháng 10 năm 2025)
Wonderland chủ yếu được phát tán bằng cách sử dụng các trang web Google Play Store giả mạo, các chiến dịch quảng cáo trên Facebook, các tài khoản giả mạo trên ứng dụng hẹn hò và các ứng dụng nhắn tin như Telegram, trong đó những kẻ tấn công lạm dụng các phiên Telegram bị đánh cắp của người dùng Uzbekistan được bán trên các chợ dark web để phân phối các tệp APK cho danh bạ và cuộc trò chuyện của nạn nhân.
Một khi mã độc được cài đặt, nó sẽ có quyền truy cập vào các tin nhắn SMS và chặn các mật khẩu dùng một lần (OTPs), mà nhóm này sử dụng để rút tiền từ thẻ ngân hàng của nạn nhân. Các khả năng khác bao gồm lấy số điện thoại, đánh cắp danh bạ, ẩn thông báo đẩy để chặn cảnh báo bảo mật hoặc OTP, và thậm chí gửi tin nhắn SMS từ các thiết bị bị nhiễm để lây lan ngang.
Cơ chế hoạt động của Dropper
Tuy nhiên, cần lưu ý rằng việc cài đặt ứng dụng qua sideloading trước tiên yêu cầu người dùng bật cài đặt cho phép cài đặt từ các nguồn không xác định. Điều này được thực hiện bằng cách hiển thị một màn hình cập nhật hướng dẫn họ "cài đặt bản cập nhật để sử dụng ứng dụng."
"Khi nạn nhân cài đặt APK và cấp quyền, những kẻ tấn công sẽ chiếm đoạt số điện thoại và cố gắng đăng nhập vào tài khoản Telegram đã đăng ký với số điện thoại đó," Group-IB cho biết. "Nếu việc đăng nhập thành công, quá trình phát tán sẽ lặp lại, tạo ra một chuỗi lây nhiễm tuần hoàn."
Wonderland đại diện cho sự phát triển mới nhất của mã độc di động ở Uzbekistan, đã chuyển từ các mã độc thô sơ như Ajina.Banker dựa vào các chiến dịch spam quy mô lớn sang các biến thể bị che giấu tinh vi hơn như Qwizzserial được tìm thấy ngụy trang dưới dạng các tệp phương tiện có vẻ vô hại.
Việc sử dụng các ứng dụng dropper là chiến lược vì nó khiến chúng trông có vẻ vô hại và tránh được các kiểm tra bảo mật. Ngoài ra, cả thành phần dropper và SMS stealer đều bị che giấu mạnh mẽ và tích hợp các kỹ thuật chống phân tích để làm cho việc đảo ngược kỹ thuật trở nên khó khăn và tốn thời gian hơn nhiều.
Hơn nữa, việc sử dụng giao tiếp C2 hai chiều biến mã độc từ một SMS stealer thụ động thành một tác nhân điều khiển từ xa chủ động có thể thực thi các yêu cầu USSD tùy ý do máy chủ cấp.
"Cơ sở hạ tầng hỗ trợ cũng trở nên năng động và kiên cường hơn," các nhà nghiên cứu cho biết. "Các nhà điều hành dựa vào các tên miền thay đổi nhanh chóng, mỗi tên miền chỉ được sử dụng cho một số bản dựng giới hạn trước khi được thay thế. Cách tiếp cận này làm phức tạp việc giám sát, phá vỡ các biện pháp phòng thủ dựa trên danh sách đen và tăng tuổi thọ của các kênh command and control."
Các bản dựng APK độc hại được tạo ra bằng cách sử dụng một bot Telegram chuyên dụng, sau đó được phân phối bởi một nhóm các tác nhân đe dọa được gọi là "worker" để đổi lấy một phần tiền bị đánh cắp. Trong nỗ lực này, mỗi bản dựng được liên kết với các tên miền C2 riêng để bất kỳ nỗ lực gỡ bỏ nào cũng không làm sập toàn bộ cơ sở hạ tầng tấn công.
Doanh nghiệp tội phạm này cũng bao gồm các chủ nhóm, nhà phát triển và "vbivers", những người xác thực thông tin thẻ bị đánh cắp. Cấu trúc phân cấp này phản ánh một sự trưởng thành mới của hoạt động gian lận tài chính.
"Làn sóng phát triển mã độc mới trong khu vực rõ ràng cho thấy các phương pháp xâm nhập thiết bị Android không chỉ trở nên tinh vi hơn mà còn phát triển với tốc độ nhanh chóng," Group-IB cho biết. Những kẻ tấn công đang tích cực điều chỉnh các công cụ của mình, triển khai các phương pháp tiếp cận mới để phân phối, che giấu hoạt động và duy trì quyền kiểm soát các thiết bị bị nhiễm.
Các chủng mã độc Android mới nổi
Thông tin này trùng hợp với sự xuất hiện của các mã độc Android mới, như Cellik, Frogblight và NexusRoute, có khả năng thu thập thông tin nhạy cảm từ các thiết bị bị xâm nhập.
Cellik RAT
Cellik, được quảng cáo trên dark web với giá khởi điểm 150 USD cho một tháng hoặc 900 USD cho giấy phép trọn đời, được trang bị khả năng truyền phát màn hình theo thời gian thực, keylogging, truy cập camera/micro từ xa, xóa dữ liệu, duyệt web ẩn, chặn thông báo và overlay ứng dụng để đánh cắp thông tin đăng nhập.
Có lẽ tính năng đáng lo ngại nhất của Trojan này là một trình tạo APK một nhấp chuột cho phép khách hàng đóng gói payload độc hại bên trong các ứng dụng Google Play hợp pháp để phân phối.
"Thông qua giao diện điều khiển của nó, một kẻ tấn công có thể duyệt toàn bộ danh mục Google Play Store và chọn các ứng dụng hợp pháp để đóng gói với payload của Cellik," Daniel Kelley của iVerify cho biết. "Chỉ với một cú nhấp chuột, Cellik sẽ tạo ra một APK độc hại mới gói gọn RAT bên trong ứng dụng hợp pháp đã chọn."
Frogblight Banker
Mặt khác, Frogblight đã được phát hiện nhắm mục tiêu người dùng ở Thổ Nhĩ Kỳ thông qua các tin nhắn SMS phishing lừa người nhận cài đặt mã độc với lý do xem các tài liệu tòa án liên quan đến một vụ kiện mà họ được cho là có liên quan, Kaspersky cho biết.
Ngoài việc đánh cắp thông tin đăng nhập ngân hàng bằng cách sử dụng WebViews, mã độc này có thể thu thập tin nhắn SMS, nhật ký cuộc gọi, danh sách các ứng dụng đã cài đặt trên thiết bị và thông tin hệ thống tệp của thiết bị. Nó cũng có thể quản lý danh bạ và gửi các tin nhắn SMS tùy ý.
Frogblight được cho là đang trong quá trình phát triển tích cực, với tác nhân đe dọa đằng sau công cụ này đang đặt nền móng để nó được phân phối theo mô hình malware-as-a-service (MaaS). Đánh giá này dựa trên việc phát hiện một web panel được lưu trữ trên máy chủ C2 và thực tế là chỉ các mẫu sử dụng cùng một khóa với đăng nhập web panel mới có thể được điều khiển từ xa thông qua nó.
Các họ mã độc như Cellik và Frogblight là một phần của xu hướng mã độc Android ngày càng tăng, trong đó ngay cả những kẻ tấn công có ít hoặc không có chuyên môn kỹ thuật giờ đây cũng có thể chạy các chiến dịch di động trên quy mô lớn với nỗ lực tối thiểu.
NexusRoute RAT
Trong những tuần gần đây, người dùng Android ở Ấn Độ cũng đã bị nhắm mục tiêu bởi một mã độc có tên NexusRoute sử dụng các cổng thông tin phishing giả mạo các dịch vụ của chính phủ Ấn Độ để chuyển hướng khách truy cập đến các APK độc hại được lưu trữ trên các kho lưu trữ GitHub và GitHub Pages, đồng thời thu thập thông tin cá nhân và tài chính của họ.
Các trang web giả mạo được thiết kế để lây nhiễm các thiết bị Android bằng một remote access trojan (RAT) được che giấu hoàn toàn, có thể đánh cắp số điện thoại di động, dữ liệu phương tiện, UPI PINs, OTPs và chi tiết thẻ, cũng như thu thập dữ liệu mở rộng bằng cách lạm dụng các dịch vụ trợ năng và nhắc người dùng đặt nó làm trình khởi chạy màn hình chính mặc định.
"Các tác nhân đe dọa ngày càng vũ khí hóa thương hiệu chính phủ, quy trình thanh toán và các cổng dịch vụ công dân để triển khai các cuộc tấn công mã độc và phishing có động cơ tài chính dưới vỏ bọc hợp pháp," CYFIRMA cho biết. "Mã độc thực hiện chặn SMS, lập hồ sơ SIM, đánh cắp danh bạ, thu thập nhật ký cuộc gọi, truy cập tệp, chụp ảnh màn hình, kích hoạt micro và theo dõi GPS."
Phân tích sâu hơn về một địa chỉ email nhúng "gymkhana.studio@gmail[.]com" đã liên kết NexusRoute với một hệ sinh thái phát triển ngầm rộng lớn hơn, làm dấy lên khả năng nó là một phần của cơ sở hạ tầng gian lận và giám sát quy mô lớn, được duy trì chuyên nghiệp.
"Chiến dịch NexusRoute đại diện cho một hoạt động tội phạm mạng di động rất trưởng thành, được thiết kế chuyên nghiệp, kết hợp phishing, mã độc, gian lận tài chính và giám sát thành một khung tấn công thống nhất," công ty cho biết. "Việc sử dụng obfuscation cấp độ gốc, dynamic loaders, cơ sở hạ tầng tự động và kiểm soát giám sát tập trung đặt chiến dịch này vượt xa khả năng của các tác nhân lừa đảo thông thường."
