Se ha observado que los actores de amenazas utilizan aplicaciones de cuentagotas maliciosas que se hacen pasar por aplicaciones legítimas para entregar el llamado ladrón de SMS de Android. Mundo maravilloso en ataques móviles a usuarios en Uzbekistán.
“Anteriormente, los usuarios recibían APK troyanos 'puros' que actuaban como malware inmediatamente después de la instalación”, dijo Group-IB en un análisis publicado la semana pasada. “Hoy en día, los atacantes implementan cada vez más droppers que se disfrazan de aplicaciones legítimas. El dropper puede parecer inofensivo a primera vista, pero contiene una carga útil maliciosa incorporada que se implementa localmente después de la instalación, incluso sin una conexión activa a Internet”.
Wonderland (anteriormente WretchedCat) permite comunicaciones bidireccionales de comando y control (C2) para ejecutar comandos en tiempo real, lo que permite solicitudes USSD arbitrarias y robo de SMS, según la firma de ciberseguridad con sede en Singapur. Se hace pasar por Google Play o archivos en otros formatos como vídeos, fotos e invitaciones de boda.
El actor de amenazas con motivación financiera detrás del malware, TrickyWonders, utiliza Telegram como su plataforma principal para coordinar varios aspectos de la operación. Se descubrió por primera vez en noviembre de 2023 y también se atribuye a dos familias de malware dropper diseñadas para ocultar la carga útil cifrada principal:
- MidnightDat (visto por primera vez el 27 de agosto de 2025)
- RoundRift (visto por primera vez el 15 de octubre de 2025)
Wonderland se distribuye principalmente a través de sitios web falsos de Google Play Store, campañas publicitarias en Facebook, cuentas falsas en aplicaciones de citas y aplicaciones de mensajería como Telegram. Los atacantes abusan de las sesiones de Telegram robadas de usuarios uzbekos, que se venden en los mercados de la web oscura, para distribuir archivos APK a los contactos y chats de las víctimas.
Una vez instalado, el malware obtiene acceso a los mensajes SMS e intercepta contraseñas de un solo uso (OTP) que el grupo utiliza para retirar fondos de las tarjetas bancarias de las víctimas. Otras características incluyen recuperar números de teléfono, filtrar listas de contactos, ocultar notificaciones push para suprimir alertas de seguridad o contraseñas de un solo uso (OTP), e incluso enviar mensajes SMS desde dispositivos infectados para movimiento lateral.
Sin embargo, vale la pena señalar que la descarga de la aplicación primero requiere que los usuarios habiliten una configuración que permita la instalación desde fuentes desconocidas. Esto se logra mostrando una pantalla de actualización que les indica que “instalen la actualización para usar la aplicación”.
“Cuando una víctima instala el APK y proporciona los permisos, los atacantes secuestran el número de teléfono e intentan iniciar sesión en la cuenta de Telegram registrada con ese número de teléfono”, dijo Group-IB. “Si el registro tiene éxito, el proceso de distribución se repite, creando una cadena cíclica de infección”.
Wonderland representa la última evolución del malware móvil en Uzbekistán, que ha evolucionado desde un malware rudimentario como Ajina.Banker, que dependía de campañas de spam a gran escala, hasta cepas más ofuscadas como Qwizzserial, que se encontraron disfrazadas de archivos multimedia aparentemente inocuos.
El uso de aplicaciones con cuentagotas es estratégicamente importante porque las hace parecer inofensivas y evaden los controles de seguridad. Además, tanto el componente cuentagotas como el ladrón de SMS están muy ofuscados y contienen trucos antianálisis, lo que hace que la ingeniería inversa sea mucho más desafiante y requiera más tiempo.
Además, el uso de comunicación C2 bidireccional transforma el malware de un ladrón de SMS pasivo a un agente remoto activo capaz de ejecutar cualquier solicitud USSD emitida por el servidor.
“La infraestructura de apoyo también se ha vuelto más dinámica y resistente”, afirman los investigadores. “Los operadores dependen de dominios que cambian rápidamente, cada uno de los cuales sólo se utiliza para un número limitado de compilaciones antes de ser reemplazado. Este enfoque complica el monitoreo, interrumpe las defensas basadas en listas negras y aumenta la longevidad de los canales de comando y control”.
Las compilaciones de APK maliciosas se generan utilizando un bot especial de Telegram, que luego es distribuido por una categoría de actores de amenazas llamados trabajadores a cambio de una parte de los fondos robados. Como parte de este esfuerzo, cada compilación está vinculada a sus propios dominios C2 para que un intento de desactivarla no destruya toda la infraestructura de ataque.
La empresa criminal también incluye propietarios de grupos, desarrolladores y vbivers que validan la información de tarjetas robadas. Esta estructura jerárquica refleja una nueva madurez en las operaciones de fraude financiero.
“La nueva ola de desarrollo de malware en la región muestra claramente que los métodos utilizados para comprometer los dispositivos Android no sólo se están volviendo más sofisticados, sino que también están evolucionando rápidamente”, dijo Group-IB. Los atacantes están adaptando activamente sus herramientas, implementando nuevos enfoques de distribución, ocultamiento de actividades y manteniendo el control de los dispositivos infectados”.
La divulgación coincide con la aparición de nuevos malware para Android como Cellik, Frogblight y NexusRoute, que son capaces de recopilar información confidencial de dispositivos comprometidos.
Cellik, anunciado en la Dark Web a un precio inicial de $150 por un mes o $900 por una licencia de por vida, está equipado con transmisión de pantalla en tiempo real, registro de teclas, acceso remoto a cámara/micrófono, borrado de datos, navegación web oculta, interceptación de notificaciones y superposiciones de aplicaciones para robar credenciales.
Quizás la característica más problemática del troyano es un creador de APK con un solo clic que permite a los clientes empaquetar la carga maliciosa en aplicaciones legítimas de Google Play para su distribución.
“A través de la interfaz de control, un atacante puede buscar en todo el catálogo de Google Play Store y seleccionar aplicaciones legítimas para incluirlas en la carga útil de Cellik”, dijo Daniel Kelley de iVerify. “Con un clic, Cellik genera un nuevo APK malicioso que incluye el RAT en la aplicación legítima seleccionada”.
Por otro lado, se descubrió que Frogblight apuntaba a usuarios en Turquía con mensajes SMS de phishing que engañaban a los destinatarios para que instalaran el malware con el pretexto de ver documentos judiciales relacionados con un caso legal en el que supuestamente estaban involucrados, dijo Kaspersky.
Además de robar credenciales bancarias mediante WebViews, el malware también puede recopilar mensajes SMS, registros de llamadas, una lista de aplicaciones instaladas en el dispositivo e información del sistema de archivos del dispositivo. También puede administrar contactos y enviar mensajes SMS.
Se cree que Frogblight se encuentra en desarrollo activo y el actor de amenazas detrás de la herramienta sienta las bases para su distribución bajo un modelo de malware como servicio (MaaS). Esta evaluación se basa en el descubrimiento de un panel web alojado en el servidor C2 y en el hecho de que solo las muestras que utilizan la misma clave que el inicio de sesión del panel web se pueden controlar remotamente a través de él.
Las familias de malware como Cellik y Frogblight son parte de una tendencia creciente en el malware para Android en la que incluso los atacantes con poca o ninguna experiencia técnica ahora pueden ejecutar campañas móviles a escala con un mínimo esfuerzo.
En las últimas semanas, los usuarios de Android en India también han sido atacados por un malware llamado NexusRoute, que utiliza portales de phishing que se hacen pasar por servicios del gobierno indio para redirigir a los visitantes a APK maliciosos alojados en repositorios y páginas de GitHub, mientras recopilan su información personal y financiera.
Los sitios web falsos están diseñados para infectar dispositivos Android con un troyano de acceso remoto (RAT) totalmente ofuscado que puede robar números de teléfono móvil, detalles de vehículos, PIN de UPI, OTP y detalles de tarjetas y recopilar una gran cantidad de datos abusando de los servicios de accesibilidad y solicitando a los usuarios que lo configuren como el iniciador de pantalla de inicio predeterminado.
“Los actores de amenazas están utilizando cada vez más la marca gubernamental, los procesos de pago y los portales de servicio al ciudadano como armas para lanzar malware y ataques de phishing con motivación financiera bajo la apariencia de legitimidad”, dijo CYFIRMA. “El malware realiza interceptación de SMS, creación de perfiles de SIM, robo de contactos, captura de registros de llamadas, acceso a archivos, captura de capturas de pantalla, activación de micrófonos y seguimiento por GPS”.
Un análisis más detallado de una dirección de correo electrónico integrada “gymkhana.studio@gmail(.)com” ha vinculado a NexusRoute con un ecosistema de desarrollo clandestino más amplio, lo que plantea la posibilidad de que sea parte de una infraestructura de vigilancia y fraude a gran escala mantenida profesionalmente.
“La campaña NexusRoute representa una operación de cibercrimen móvil altamente sofisticada y diseñada profesionalmente que combina phishing, malware, fraude financiero y vigilancia en un marco de ataque unificado”, dijo la compañía. “El uso que hace esta campaña de ofuscación a nivel nativo, cargadores dinámicos, infraestructura automatizada y control de auditoría centralizado supera con creces las capacidades de los estafadores tradicionales”.
About The Author
