Er zijn bedreigingsactoren waargenomen die kwaadaardige dropper-apps gebruiken die zich voordoen als legitieme applicaties om een Android-sms-dief te leveren genaamd Wonderland bij mobiele aanvallen gericht op gebruikers in Oezbekistan.
“Voorheen ontvingen gebruikers ‘pure’ Trojan APK’s die onmiddellijk na installatie als malware fungeerden”, zei Group-IB in een analyse die vorige week werd gepubliceerd. “Nu zetten kwaadwillenden steeds vaker droppers in, vermomd als legitieme applicaties. De dropper ziet er op het eerste gezicht onschadelijk uit, maar bevat een ingebouwde kwaadaardige lading, die na installatie lokaal wordt ingezet – zelfs zonder een actieve internetverbinding.”
Wonderland (voorheen WretchedCat) faciliteert volgens het in Singapore gevestigde cyberbeveiligingsbedrijf bidirectionele command-and-control (C2)-communicatie om opdrachten in realtime uit te voeren, waardoor willekeurige USSD-verzoeken en sms-diefstal mogelijk zijn. Het doet zich voor als Google Play of als bestanden van andere formaten, zoals video’s, foto’s en huwelijksuitnodigingen.
De financieel gemotiveerde dreigingsactor achter de malware, TrickyWonders, gebruikt Telegram als het belangrijkste platform om verschillende aspecten van de operatie te coördineren. Het werd voor het eerst ontdekt in november 2023 en wordt ook toegeschreven aan twee dropper-malwarefamilies die zijn ontworpen om de primaire gecodeerde lading te verbergen:
- MidnightDat (voor het eerst gezien op 27 augustus 2025)
- RoundRift (voor het eerst gezien op 15 oktober 2025)
Wonderland wordt voornamelijk gepropageerd met behulp van valse Google Play Store-webpagina’s, advertentiecampagnes op Facebook, valse accounts op dating-apps en berichten-apps zoals Telegram, waarbij de aanvallers misbruik maken van gestolen Telegram-sessies van Oezbeekse gebruikers die op dark web-markten worden verkocht om APK-bestanden te distribueren naar de contacten en chats van de slachtoffers.
Zodra de malware is geïnstalleerd, krijgt deze toegang tot sms-berichten en onderschept hij eenmalige wachtwoorden (OTP’s), die de groep gebruikt om geld van de bankkaarten van slachtoffers over te hevelen. Andere mogelijkheden zijn onder meer het ophalen van telefoonnummers, het exfiltreren van contactlijsten, het verbergen van pushmeldingen om beveiliging of eenmalige wachtwoordwaarschuwingen (OTP) te onderdrukken, en zelfs het verzenden van sms-berichten vanaf geïnfecteerde apparaten voor laterale verplaatsing.
Het is echter de moeite waard om erop te wijzen dat het sideloaden van de app vereist dat gebruikers eerst een instelling inschakelen die installatie vanaf onbekende bronnen toestaat. Dit wordt bereikt door een updatescherm weer te geven waarin wordt aangegeven dat ze ‘de update moeten installeren om de app te kunnen gebruiken’.
“Wanneer een slachtoffer de APK installeert en de machtigingen verstrekt, kapen de aanvallers het telefoonnummer en proberen in te loggen op het Telegram-account dat met dat telefoonnummer is geregistreerd”, aldus Group-IB. “Als het inloggen lukt, wordt het distributieproces herhaald, waardoor een cyclische infectieketen ontstaat.”
Wonderland vertegenwoordigt de nieuwste evolutie van mobiele malware in Oezbekistan, die is verschoven van rudimentaire malware zoals Ajina.Banker die vertrouwde op grootschalige spamcampagnes naar meer onduidelijke varianten zoals Qwizzserial die vermomd als schijnbaar goedaardige mediabestanden werden aangetroffen.
Het gebruik van dropper-applicaties is van strategisch belang, omdat het ervoor zorgt dat ze onschadelijk lijken en veiligheidscontroles omzeilen. Bovendien zijn zowel de dropper- als de SMS-stealer-componenten zwaar versluierd en bevatten ze anti-analysetrucs om ze een stuk uitdagender en tijdrovender te maken om te reverse-engineeren.
Bovendien transformeert het gebruik van bidirectionele C2-communicatie de malware van een passieve sms-steler in een actieve, op afstand bestuurde agent die willekeurige USSD-verzoeken van de server kan uitvoeren.
“De ondersteunende infrastructuur is ook dynamischer en veerkrachtiger geworden”, aldus de onderzoekers. “Operators vertrouwen op snel veranderende domeinen, die elk slechts voor een beperkt aantal builds worden gebruikt voordat ze worden vervangen. Deze aanpak compliceert monitoring, verstoort op zwarte lijsten gebaseerde verdedigingen en verlengt de levensduur van commando- en controlekanalen.”
De kwaadaardige APK-builds worden gegenereerd met behulp van een speciale Telegram-bot, die vervolgens wordt verspreid door een categorie bedreigingsactoren, werknemers genaamd, in ruil voor een deel van het gestolen geld. Als onderdeel van deze inspanning wordt elke build gekoppeld aan zijn eigen C2-domeinen, zodat elke verwijderingspoging niet de hele aanvalsinfrastructuur neerhaalt.
Tot de criminele onderneming behoren ook groepseigenaren, ontwikkelaars en vbivers, die gestolen kaartgegevens valideren. Deze hiërarchische structuur weerspiegelt een nieuwe rijping van de financiële fraudeoperatie.
“De nieuwe golf van malware-ontwikkeling in de regio laat duidelijk zien dat methoden om Android-apparaten te compromitteren niet alleen steeds geavanceerder worden, ze evolueren ook in een snel tempo”, aldus Group-IB. Aanvallers passen hun tools actief aan, implementeren nieuwe benaderingen van distributie, verbergen van activiteiten en behouden de controle over geïnfecteerde apparaten.”
De onthulling valt samen met de opkomst van nieuwe Android-malware, zoals Cellik, Frogblight en NexusRoute, die in staat zijn gevoelige informatie van besmette apparaten te verzamelen.
Cellik, dat op het dark web wordt geadverteerd voor een startprijs van $150 voor een maand of voor $900 voor een levenslange licentie, is uitgerust met real-time schermstreaming, keylogging, externe camera-/microfoontoegang, gegevens wissen, verborgen surfen op het web, het onderscheppen van meldingen en app-overlays om inloggegevens te stelen.
Misschien wel de meest verontrustende functie van de Trojan is een APK-builder met één klik waarmee klanten de kwaadaardige lading kunnen bundelen in legitieme Google Play-apps voor distributie.
“Via de besturingsinterface kan een aanvaller door de volledige Google Play Store-catalogus bladeren en legitieme apps selecteren om te bundelen met de Cellik-payload”, zegt Daniel Kelley van iVerify. “Met één klik genereert Cellik een nieuwe kwaadaardige APK die de RAT in de gekozen legitieme app verpakt.”
Frogblight daarentegen richt zich op gebruikers in Turkije via phishing-sms-berichten die de ontvangers ertoe verleiden de malware te installeren onder het voorwendsel van het bekijken van gerechtelijke documenten die verband houden met een rechtszaak waarbij zij betrokken zouden zijn, aldus Kaspersky.
Naast het stelen van bankgegevens met behulp van WebViews, kan de malware ook sms-berichten, oproeplogboeken, een lijst met geïnstalleerde apps op het apparaat en informatie over het bestandssysteem van het apparaat verzamelen. Het kan ook contacten beheren en willekeurige sms-berichten verzenden.
Er wordt aangenomen dat Frogblight actief wordt ontwikkeld, waarbij de bedreigingsactor achter de tool de basis legt voor distributie ervan onder een malware-as-a-service (MaaS)-model. Deze beoordeling is gebaseerd op de ontdekking van een webpaneel dat wordt gehost op de C2-server en het feit dat alleen monsters met dezelfde sleutel als de login van het webpaneel hierdoor op afstand kunnen worden beheerd.
Malwarefamilies als Cellik en Frogblight maken deel uit van een groeiende trend van Android-malware, waarbij zelfs aanvallers met weinig tot geen technische expertise nu met minimale inspanning op grote schaal mobiele campagnes kunnen uitvoeren.
De afgelopen weken zijn Android-gebruikers in India ook het doelwit geweest van malware genaamd NexusRoute, die gebruik maakt van phishing-portals die zich voordoen als de Indiase overheidsdiensten om bezoekers om te leiden naar kwaadaardige APK’s die worden gehost op GitHub-repository’s en GitHub-pagina’s, terwijl ze tegelijkertijd hun persoonlijke en financiële informatie verzamelen.
De nepsites zijn ontworpen om Android-apparaten te infecteren met een volledig verborgen trojan voor externe toegang (RAT) die mobiele nummers, voertuiggegevens, UPI-pincodes, OTP’s en kaartgegevens kan stelen, en ook uitgebreide gegevens kan verzamelen door toegankelijkheidsdiensten te misbruiken en gebruikers te vragen deze in te stellen als de standaard startschermstarter.
“Bedreigingsactoren maken steeds meer gebruik van overheidsbranding, betalingsworkflows en burgerserviceportals om financieel gedreven malware en phishing-aanvallen in te zetten onder het mom van legitimiteit”, aldus CYFIRMA. “De malware voert sms-onderscheppingen, SIM-profilering, contactdiefstal, het verzamelen van oproeplogboeken, toegang tot bestanden, het vastleggen van screenshots, activering van de microfoon en GPS-tracking uit.”
Verdere analyse van een ingebed e-mailadres “gymkhana.studio@gmail(.)com” heeft NexusRoute gekoppeld aan een breder ondergronds ontwikkelingsecosysteem, waardoor de mogelijkheid is ontstaan dat het deel uitmaakt van een professioneel onderhouden, grootschalige fraude- en surveillance-infrastructuur.
“De NexusRoute-campagne vertegenwoordigt een zeer volwassen, professioneel ontworpen mobiele cybercriminaliteitsoperatie die phishing, malware, financiële fraude en surveillance combineert in een uniform aanvalsframework”, aldus het bedrijf. “Het gebruik van verduistering op native niveau, dynamische laders, geautomatiseerde infrastructuur en gecentraliseerde surveillancecontrole plaatst deze campagne ver buiten de mogelijkheden van gewone oplichters.”
