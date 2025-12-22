Badacze z Group-IB i innych firm ostrzegają przed nową falą zaawansowanych kampanii złośliwego oprogramowania na Androida. Łączą one w sobie kradzież SMS-ów, w tym kodów jednorazowych, zdalne przejęcie urządzenia i rozbudowaną infrastrukturę cyberprzestępczą.

Groźny trojan na Androida

Wonderland (wcześniej znany jako WretchedCat) to złośliwe oprogramowanie kradnące SMS-y i jednorazowe hasła uwierzytelniające (OTP — one time passwords). Malware podszywa się m.in. pod Google Play oraz pliki wideo, zdjęcia czy zaproszenia ślubne.

Trojan dystrybuowany jest przez fałszywe strony Google Play, kampanie na Facebooku, a także fikcyjne konta na portalach randkowych i Telegramie. Atakujący wykorzystują między innymi przejęte profile użytkowników na Telegramie do masowego rozsyłania złośliwych plików APK.

Po instalacji malware przejmuje SMS-y i kody jednorazowe, może ukrywać powiadomienia, wysyłać SMS-y z zainfekowanego telefonu oraz wykonywać różnego rodzaju polecenia przez dwukierunkową, zdalną komunikację z serwerami C2.

Malware ukrywa swoją obecność

Wonderland jest ukrywany w dropperach MidnightDat i RoundRift, które wyglądają jak legalne aplikacje. Zaszyfrowany złośliwy kod jest w tym przypadku instalowany lokalnie, nawet bez połączenia z internetem.

Aplikacje wymagają wcześniejszego włączenia instalacji z nieznanych źródeł. Atakujący osiągają zgodę na to przez wyświetlenie ekranu „aktualizacji”, zachęcającego użytkownika do instalacji rzekomej nowej wersji oprogramowania.

Z informacji ekspertów ds. cyberbezpieczeństwa wynika, że infrastruktura C2 oparta jest na szybko zmieniających się domenach przypisanych do konkretnych buildów, co utrudnia monitorowanie i blokowanie kampanii.