Hack Alerta

Operação móvel 'Wonderland': droppers e furtos de SMS em campanhas contra Android

Por Redação Hack Alerta Publicado em 22/12/2025 05:03 Riscos e Ameaças Tempo de leitura: 3 min

Análise do Group‑IB documenta uma campanha móvel que usa apps dropper para instalar o ladrão de SMS 'Wonderland', visando usuários no Uzbequistão. O uso de droppers aumenta escala e evasão, e ameaça serviços que dependem de autenticação por SMS.

Introdução

Uma campanha móvel que emprega apps dropper para entregar um ladrão de SMS chamado "Wonderland" foi documentada por Group‑IB. A operação usa instaladores disfarçados como apps legítimos e combina técnicas de entrega em escala para roubo de mensagens e credenciais.

Descoberta e escopo

Group‑IB relatou que, ao invés de distribuir APKs trojanizados diretamente, os operadores passaram a usar droppers — instaladores aparentemente benignos que, após a instalação, baixam e instalam o payload malicioso. A infraestrutura observada foi associada a campanhas que visam usuários em pelo menos um país da Ásia Central (Uzbequistão), conforme o relatório.

Vetor e exploração

  • Aplicativos dropper publicados em marketplaces/links de distribuição;
  • Instalação silenciosa do payload Wonderland após entrega;
  • Funcionalidade central: exfiltração de SMS, potencial interceptação de códigos de autenticação e credenciais enviadas por texto.

Evidências e limitações

O relatório do Group‑IB inclui comparações com campanhas anteriores, observando que “Previously, users received 'pure' Trojan APKs that acted as malware immediately upon installation”. No caso atual, o uso de droppers amplia a capacidade de evasão e distribuição. A análise pública não lista amostras ou indicadores detalhados (hashes, C2) na cobertura disponível.

Impacto e setores afetados

Campanhas de SMS‑stealer afetam diretamente usuários finais e serviços que dependem de autenticação por SMS (bancos, telecoms, serviços online). Embora o relatório cite como alvo principal usuários no Uzbequistão, as técnicas observadas são replicáveis globalmente, exigindo atenção de equipes de defesa móvel e fraude.

Mitigações e recomendações

  • Evitar instalação de APKs fora de lojas oficiais;
  • Bloquear privilégios desnecessários e auditar permissões de aplicativos móveis;
  • Reduzir dependência de autenticação por SMS; migrar para TOTP/PUK/hardware tokens onde possível;
  • Monitorar padrões de tráfego e comunicações com domínios/hosts suspeitos para identificar droppers.

Conclusão

A campanha que entrega o stealers desliza para um padrão mais modular (droppers + payloads) que facilita escala e evasão. Falta ainda, nas divulgações públicas, um conjunto amplo de IOCs que permita bloqueio imediato por provedores de segurança; por isso, controles baseados em comportamento e práticas de redução de ataque continuam essenciais.

Baseado em publicação original de The Hacker News
Tags: #android #malware #sms-stealer #wonderland #dropper #group-ib #uzbekistan #mobile #sms-theft
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar