Аналитики Group-IB зафиксировали качественный скачок в развитии мобильных угроз в Узбекистане. По данным исследования, опубликованного 19 декабря 2025 года, злоумышленники перешли от прямой рассылки троянов к использованию многоступенчатых дропперов (программ-дропперов, скрытно устанавливающих вредоносную полезную нагрузку). Ключевым открытием стал троян Wonderland - первый массовый SMS-стилер (похититель SMS) в регионе с двусторонней связью с командным сервером (C2, command-and-control), что превращает его в управляемого удаленно агента.
Описание
Ранее злоумышленники распространяли готовые вредоносные APK-файлы. Теперь же жертвам под видом легитимных приложений, часто через Telegram, доставляется дроппер. Внешне он ведет себя безобидно, не запрашивая подозрительных разрешений, а после установки локально развертывает скрытый в своем коде основной вредоносный модуль. Это значительно усложняет детектирование на ранних стадиях.
Помимо изменения модели доставки, эксперты отмечают рост технической сложности самих вредоносов. Код активно обфусцируется, используются антиотладочные техники, включая детектирование эмуляторов, инструментов вроде Frida и рутированных устройств. Инфраструктура злоумышленников также стала более гибкой: для повышения живучести они используют быстро сменяемые домены, которые работники (так называемые "workers") привязывают к основному C2 через Telegram-бота.
Особое внимание в отчете уделено новой семье троянов Wonderland. В отличие от прежних пассивных сборщиков данных, этот стилер использует протокол WebSocket для двусторонней связи с оператором. Это позволяет не только красть SMS, но и выполнять произвольные USSD-запросы, отправлять SMS, скрывать уведомления, что активно используется для мошеннических операций с банковскими счетами. По оценкам Group-IB, одна из исследуемых групп преступников заработала таким образом более 2 миллионов долларов только в 2025 году.
Распространение часто идет через Telegram - самый популярный мессенджер в Узбекистане. Злоумышленники используют украденные сессии аккаунтов для рассылки вредоносных ссылок или файлов контактам жертвы из раздела "Сохраненные сообщения", что помогает обходить антиспам-системы. После заражения троян может получить доступ к Telegram-аккаунту жертвы, создавая цикличную цепь заражения.
Для защиты бизнеса специалисты рекомендуют внедрять системы мониторинга пользовательских сессий, которые могут обнаруживать зараженные устройства и подозрительную активность. Ключевой совет для рядовых пользователей - проявлять бдительность при установке приложений из непроверенных источников, не хранить данные банковских карт в мессенджерах и при малейших подозрениях на заражение выполнить сброс устройства к заводским настройкам. Эволюция угроз в регионе демонстрирует, что методы компрометации устройств не просто усложняются, но и развиваются ускоренными темпами, требуя скоординированных мер противодействия.
Индикаторы компрометации
SHA1
- 22b7bc9bdccbdac0ec40cf8cedaf7bce3b313e94
- 23cb06e1d97b951b36b77b0e7c38ccedb1f9ea2d
- 2dd2371efced160743d88ef08905e3eb7aa83531
- 3343e72eb3f04244c7ebf464883cb120365e3a4e
- 516943e93a2bd8f7d91dc5d8b130073d60f4fe67
- 6ab99f2396f309647f1adabd290f711960d41696
- 6f5502b0e2e99d5f9be4e5f9dcf3fa21b48a92e4
- 85605b32c2a61c258709a19a54cb8a2aa59f8f04
- 86ee96cd11cf08f37a511fa860c78b12cb237b73
- 916c66810f0c1ffb447ac98c8e707c75aa911b4f
- 9374204e405814cd2a0f364272cf1b417a9b0163
- c8b8415ee68ec26af544d2ec9d5b8e86e6670690
- d5b1e45cdf941e5e5771b50881e167dea8020b18
- db1d14d5246f2c8807c55084b74247dea6465285
- e2ca86efebc6338a37cdcc0f07ea5d1e8eeeb53a
