Les opérations de malware Android fusionnent les droppers, le vol de SMS et les capacités RAT à grande échelle

The Hacker News - TheHackerNews - 22/12
Les attaquants Android utilisent de fausses applications et des compte-gouttes pour propager le voleur de SMS Wonderland, volant des OTP, des données SMS et des fonds bancaires, principalement en Ouzbékistan.

Des acteurs malveillants ont été observés exploitant des applications de compte-gouttes malveillantes se faisant passer pour des applications légitimes pour diffuser un voleur de SMS Android surnommé Wonderland dans le cadre d'attaques mobiles ciblant des utilisateurs en Ouzbékistan.

"Auparavant, les utilisateurs recevaient des chevaux de Troie "purs" APK qui agissaient comme des logiciels malveillants immédiatement après leur installation", a déclaré Group-IB dans une analyse publiée la semaine dernière. « Désormais, les adversaires déploient de plus en plus de droppers déguisés en applications légitimes. Le dropper semble inoffensif en apparence mais contient une charge utile malveillante intégrée, qui est déployée localement après l'installation – même sans connexion Internet active.

Wonderland (anciennement WretchedCat), selon la société de cybersécurité basée à Singapour, facilite la communication bidirectionnelle de commande et de contrôle (C2) pour exécuter des commandes en temps réel, permettant ainsi les requêtes USSD arbitraires et le vol de SMS. Il se fait passer pour GooglePlay ou pour des fichiers d'autres formats, tels que des vidéos, des photos et des invitations de mariage.

L'acteur malveillant derrière le malware, motivé par des motivations financières, TrickyWonders, utilise Telegram comme plate-forme principale pour coordonner divers aspects de l'opération. Découvert pour la première fois en novembre 2023, il est également attribué à deux familles de logiciels malveillants dropper conçus pour dissimuler la charge utile chiffrée principale :...
[Courte citation de 8% de l'article original]

Loading...