В Израиле начались активные боевые действия: основное на 07.10
Елена Петрова 
Android зловред Wonderland в Узбекистане стал одним из самых показательных примеров того, как мобильное мошенничество эволюционирует от грубых схем к почти незаметным атакам. Если ещё недавно пользователи сталкивались с прямыми рассылками подозрительных APK-файлов, которые сразу выдавали своё вредоносное назначение, то сегодня злоумышленники действуют значительно тоньше. Новый подход основан на использовании так называемых дропперов — внешне легитимных приложений, внутри которых скрыта зашифрованная вредоносная нагрузка. Такой метод позволяет обходить базовую осторожность пользователей и значительно повышает успешность заражений.
Android зловред Wonderland в Узбекистане всё чаще фигурирует в отчётах аналитиков по информационной безопасности именно из-за масштабности кампании и высокого уровня автоматизации атак. Пользователь, устанавливая на первый взгляд обычное приложение, может даже не подозревать, что в системе уже запущен механизм кражи данных, способный работать автономно и без постоянного подключения к интернету.
Android зловред Wonderland в Узбекистане и новая тактика дропперов
Одной из ключевых особенностей текущей волны атак является отказ от прямой установки зловреда. Вместо этого используется промежуточное приложение-дроппер, которое маскируется под полезный или нейтральный контент. Это может быть видеоплеер, просмотрщик фотографий, файл с «приглашением на свадьбу» или даже приложение, внешне копирующее Google Play. После установки дроппер не проявляет явной вредоносной активности, что снижает вероятность немедленного удаления.
Через некоторое время пользователь видит стандартное уведомление с просьбой установить «обновление для корректной работы приложения». На этом этапе Android зловред Wonderland в Узбекистане фактически устанавливается руками самой жертвы. Пользователь самостоятельно разрешает установку из неизвестных источников, считая это частью обычного процесса обновления. В ряде случаев вредоносная нагрузка уже содержится внутри дроппера в зашифрованном виде и может быть развернута локально, без загрузки дополнительных файлов из сети.
Android зловред Wonderland в Узбекистане здесь играет ключевую роль, поскольку именно этот механизм «тихой установки» отличает текущую кампанию от предыдущих массовых рассылок вредоносных APK.
Android зловред Wonderland в Узбекистане и функциональные возможности
Wonderland, ранее известный под названием WretchedCat, относится к категории СМС-стилеров, но его возможности значительно шире, чем у классических представителей этого класса. Основная цель зловреда — перехват СМС-сообщений, включая одноразовые пароли и коды подтверждения, используемые банками, платёжными сервисами и мессенджерами. Получая эти данные, злоумышленники могут обходить двухфакторную аутентификацию и получать доступ к финансовым аккаунтам жертв.
Похожие записи
Android зловред Wonderland в Узбекистане поддерживает двустороннюю связь с управляющим сервером. Это означает, что операторы атаки могут в реальном времени отправлять команды заражённому устройству. Среди таких команд — выполнение USSD-запросов, что особенно опасно в контексте мобильных банковских сервисов и операторских услуг.
Помимо этого, зловред способен собирать список контактов, скрывать push-уведомления, в том числе банковские и защитные, а также автоматически отправлять СМС-сообщения другим людям из адресной книги жертвы. Таким образом, устройство превращается не только в источник утечки данных, но и в инструмент дальнейшего распространения атаки.
Android зловред Wonderland в Узбекистане также связан с функцией извлечения служебной информации: номера телефона, параметров устройства, версии операционной системы и других данных, необходимых для адаптации атаки под конкретную жертву.
Android зловред Wonderland в Узбекистане и Telegram-инфраструктура
Отдельного внимания заслуживает роль Telegram в данной кампании. Финансово мотивированная группа, известная как TrickyWonders, активно использует этот мессенджер как для координации действий, так и для распространения вредоносных файлов. Особенность заключается в том, что злоумышленники применяют украденные Telegram-сессии реальных пользователей из Узбекистана, которые приобретаются на теневых площадках.
Через такие сессии вредоносные APK-файлы рассылаются контактам жертвы и в групповые чаты. Получатели, видя сообщение от знакомого человека, значительно реже сомневаются в его безопасности. Если после заражения атакующим удаётся перехватить доступ к Telegram-аккаунту новой жертвы, цепочка заражений запускается повторно, но уже от её имени. Это создаёт эффект снежного кома и резко увеличивает охват кампании.
Android зловред Wonderland в Узбекистане здесь тесно переплетается с социальной инженерией, где технические методы усиливаются психологическим доверием между пользователями.
Android зловред Wonderland в Узбекистане и дропперы нового поколения
Исследователи связывают Wonderland сразу с двумя семействами дропперов. MidnightDat начал фиксироваться с конца августа 2025 года и стал первым сигналом перехода к более скрытным методам доставки вредоносной нагрузки. RoundRift, появившийся в середине октября 2025 года, развил эту концепцию, добавив более сложные механизмы шифрования и маскировки.
Сборка вредоносных APK полностью автоматизирована. Для этого используется специальный Telegram-бот, который позволяет операторам быстро генерировать уникальные версии приложений под конкретные цели. Каждая сборка получает собственные управляющие домены, что значительно усложняет блокировку инфраструктуры и снижает эффективность традиционных мер реагирования.
Распространением занимаются так называемые воркеры — участники схемы, которые получают процент от украденных средств. Такая модель позволяет масштабировать атаки без прямого участия организаторов на каждом этапе.
Android зловред Wonderland в Узбекистане в данном контексте отражает не единичный инцидент, а целую экосистему преступной деятельности.
Android зловред Wonderland в Узбекистане и риски для пользователей
Основная опасность Wonderland заключается в том, что заражение может долгое время оставаться незаметным. Пользователь продолжает пользоваться смартфоном, не получая уведомлений о входах в банковские приложения, списаниях средств или изменениях настроек безопасности. К моменту обнаружения проблемы деньги уже могут быть выведены, а доступы — скомпрометированы.
Дополнительный риск связан с тем, что зловред активно использует локальные возможности устройства, не всегда полагаясь на интернет-соединение. Это снижает эффективность сетевых фильтров и усложняет выявление атаки на ранних стадиях.
Android зловред Wonderland в Узбекистане подчёркивает необходимость пересмотра пользовательских привычек и повышения цифровой грамотности. Установка приложений из неизвестных источников, даже если они выглядят безобидно, остаётся одним из главных факторов риска.
