Se ha observado que los actores de amenazas aprovechan aplicaciones de cuentagotas maliciosas que se hacen pasar por aplicaciones legítimas para entregar un ladrón de SMS de Android denominado Mundo maravilloso en ataques a dispositivos móviles dirigidos a usuarios en Uzbekistán.
«Anteriormente, los usuarios recibían APK troyanos 'puros' que actuaban como malware inmediatamente después de la instalación», Group-IB dicho en un análisis publicado la semana pasada. «Ahora, los adversarios implementan cada vez más droppers disfrazados de aplicaciones legítimas. El dropper parece inofensivo en la superficie, pero contiene una carga útil maliciosa incorporada, que se implementa localmente después de la instalación, incluso sin una conexión activa a Internet».
Wonderland (anteriormente WretchedCat), según la empresa de ciberseguridad con sede en Singapur, facilita la comunicación bidireccional de comando y control (C2) para ejecutar comandos en tiempo real, lo que permite solicitudes arbitrarias de USSD y robo de SMS. Se hace pasar por Google Play o archivos de otros formatos, como vídeos, fotografías e invitaciones de boda.
El actor de amenazas con motivación financiera detrás del malware, TrickyWonders, aprovecha Telegram como plataforma principal para coordinar varios aspectos de la operación. Descubierto por primera vez en noviembre de 2023, también se atribuye a dos familias de malware dropper que están diseñadas para ocultar la carga útil cifrada principal:
- MidnightDat (Visto por primera vez el 27 de agosto de 2025)
- RoundRift (visto por primera vez el 15 de octubre de 2025)
Wonderland se propaga principalmente mediante páginas web falsas de Google Play Store, campañas publicitarias en Facebook, cuentas falsas en aplicaciones de citas y aplicaciones de mensajería como Telegram, y los atacantes abusan de sesiones robadas de Telegram de usuarios uzbekos vendidas en mercados de la web oscura para distribuir archivos APK a los contactos y chats de las víctimas.
Una vez instalado el malware, obtiene acceso a los mensajes SMS e intercepta contraseñas de un solo uso (OTP), que el grupo utiliza para desviar fondos de las tarjetas bancarias de las víctimas. Otras capacidades incluyen recuperar números de teléfono, filtrar listas de contactos, ocultar notificaciones push para suprimir alertas de seguridad o contraseñas de un solo uso (OTP), e incluso enviar mensajes SMS desde dispositivos infectados para movimiento lateral.
Sin embargo, vale la pena señalar que la descarga de la aplicación primero requiere que los usuarios habiliten una configuración que permita la instalación desde fuentes desconocidas. Esto se logra mostrando una pantalla de actualización que les indica que «instalen la actualización para usar la aplicación».
«Cuando una víctima instala el APK y proporciona los permisos, los atacantes secuestran el número de teléfono e intentan iniciar sesión en la cuenta de Telegram registrada con ese número de teléfono», dijo Group-IB. «Si el inicio de sesión tiene éxito, el proceso de distribución se repite, creando una cadena de infección cíclica».
Wonderland representa la última evolución del malware móvil en Uzbekistán, que ha pasado de ser malware rudimentario como Ajina.banquero que dependía de campañas de spam a gran escala hasta cepas más confusas como Qwizzserial que se encontraron disfrazados de archivos multimedia aparentemente benignos.
El uso de aplicaciones con cuentagotas es estratégico ya que hace que parezcan inofensivas y eludan los controles de seguridad. Además, tanto el componente cuentagotas como el ladrón de SMS están muy ofuscados e incorporan trucos anti-análisis para que la ingeniería inversa sea mucho más desafiante y requiera más tiempo.
Es más, el uso de la comunicación bidireccional C2 transforma el malware de un ladrón de SMS pasivo a un agente activo controlado remotamente que puede ejecutar solicitudes USSD arbitrarias emitidas por el servidor.
«La infraestructura de apoyo también se ha vuelto más dinámica y resistente», dijeron los investigadores. «Los operadores dependen de dominios que cambian rápidamente, cada uno de los cuales se utiliza sólo para un conjunto limitado de compilaciones antes de ser reemplazado. Este enfoque complica el monitoreo, interrumpe las defensas basadas en listas negras y aumenta la longevidad de los canales de comando y control».
Las compilaciones de APK maliciosas se generan utilizando un bot de Telegram dedicado, que luego es distribuido por una categoría de actores de amenazas llamados trabajadores a cambio de una parte de los fondos robados. Como parte de este esfuerzo, cada compilación está asociada con sus propios dominios C2 para que cualquier intento de eliminación no destruya toda la infraestructura de ataque.
La empresa criminal también incluye propietarios de grupos, desarrolladores y vbivers, que validan la información de las tarjetas robadas. Esta estructura jerárquica refleja una nueva maduración de la operación de fraude financiero.
«La nueva ola de desarrollo de malware en la región demuestra claramente que los métodos para comprometer dispositivos Android no sólo se están volviendo más sofisticados sino que están evolucionando a un ritmo rápido», afirmó Group-IB. Los atacantes están adaptando activamente sus herramientas, implementando nuevos enfoques de distribución, ocultamiento de actividad y manteniendo el control sobre los dispositivos infectados».
La divulgación coincide con la aparición de nuevo malware para Android, como celik, plaga de ranasy Ruta Nexusque son capaces de recopilar información confidencial de dispositivos comprometidos.
Cellik, que se anuncia en la web oscura por un precio inicial de $150 por un mes o por $900 por una licencia de por vida, está equipado con transmisión de pantalla en tiempo real, registro de teclas, acceso remoto a cámara/micrófono, borrado de datos, navegación web oculta, interceptación de notificaciones y superposiciones de aplicaciones para robar credenciales.
Quizás la característica más preocupante del troyano es un creador de APK con un solo clic que permite a los clientes agrupar la carga maliciosa dentro de aplicaciones legítimas de Google Play para su distribución.
«A través de su interfaz de control, un atacante puede explorar todo el catálogo de Google Play Store y seleccionar aplicaciones legítimas para incluirlas en la carga útil de Cellik», dijo Daniel Kelley de iVerify. «Con un clic, Cellik generará un nuevo APK malicioso que envuelve el RAT dentro de la aplicación legítima elegida».
Por otro lado, se ha descubierto que Frogblight se dirige a usuarios en Turquía a través de mensajes SMS de phishing que engañan a los destinatarios para que instalen el malware con el pretexto de ver documentos judiciales relacionados con un caso judicial en el que supuestamente están involucrados, dijo Kaspersky.
Además de robar credenciales bancarias mediante WebViews, el malware puede recopilar mensajes SMS, registros de llamadas, una lista de aplicaciones instaladas en el dispositivo e información del sistema de archivos del dispositivo. También puede gestionar contactos y enviar mensajes SMS arbitrarios.
Se cree que Frogblight se encuentra en desarrollo activo y el actor de amenazas detrás de la herramienta está sentando las bases para su distribución bajo un modelo de malware como servicio (MaaS). Esta evaluación se basa en el descubrimiento de un panel web alojado en el servidor C2 y en el hecho de que sólo las muestras que utilizan la misma clave que el inicio de sesión del panel web pueden controlarse remotamente a través de él.
Familias de malware como Cellik y Frogblight son parte de una tendencia creciente de malware para Android, en la que incluso los atacantes con poca o ninguna experiencia técnica ahora pueden ejecutar campañas móviles a escala con un mínimo esfuerzo.
En las últimas semanas, los usuarios de Android en India también han sido atacados por un malware denominado NexusRoute que emplea portales de phishing que se hacen pasar por los servicios del gobierno indio para redirigir a los visitantes a APK maliciosos alojados en repositorios y páginas de GitHub, mientras recopila simultáneamente su información personal y financiera.
Los sitios falsos están diseñados para infectar dispositivos Android con un troyano de acceso remoto (RAT) totalmente ofuscado que puede robar números móviles, datos de vehículos, PIN de UPI, OTP y detalles de tarjetas, así como recopilar una gran cantidad de datos abusando de los servicios de accesibilidad y solicitando a los usuarios que lo configuren como el iniciador de pantalla de inicio predeterminado.
«Los actores de amenazas utilizan cada vez más la marca gubernamental, los flujos de trabajo de pago y los portales de servicio al ciudadano como armas para implementar malware y ataques de phishing con fines financieros bajo la apariencia de legitimidad», dijo CYFIRMA. «El malware realiza interceptación de SMS, creación de perfiles de SIM, robo de contactos, recopilación de registros de llamadas, acceso a archivos, captura de pantalla, activación de micrófono y seguimiento por GPS».
Análisis más detallado de una dirección de correo electrónico integrada «gymkhana.studio@gmail[.]com» ha vinculado NexusRoute a un ecosistema de desarrollo subterráneo más amplio, lo que plantea la posibilidad de que sea parte de una infraestructura de vigilancia y fraude a gran escala mantenida profesionalmente.
«La campaña NexusRoute representa una operación de cibercrimen móvil altamente madura y diseñada profesionalmente que combina phishing, malware, fraude financiero y vigilancia en un marco de ataque unificado», dijo la compañía. «El uso de ofuscación a nivel nativo, cargadores dinámicos, infraestructura automatizada y control de vigilancia centralizado coloca esta campaña mucho más allá de las capacidades de los estafadores comunes».
Fuente