Neue Android‑Malware „Wonderland“ bedroht Nutzer:innen in Usbekistan

Am Von In UP2DATE

This content is protected against AI scraping.

Android-Malware-Operationen kombinieren Dropper, SMS-Diebstahl und RAT-Funktionen in großem Maßstab

Usbekistan?

Komm mir nicht mit Usbekistan! Das sind 4000 km von Deutschland aus. Da sind wir doch weit ab vom Schuss!
Es kommt eben darauf an…
Obwohl die aktuelle Bedrohung vor allem Usbekistan betrifft, zeigen die Techniken, dass moderne Android‑Malware weltweit immer raffinierter wird. Und wenn es die einen haben, wollen & können es die anderen auch… Denn das Böse schläft nie. Es agiert gut vernetzt, weltweit.

Auf ins Wonderland?

Auch wenn viele Menschen bei Wonderland eher an Winter-Wonderland und Weihnachten denken, lohnt ein Blick auf das andere „Wonderland“: Aktuell haben Forschende von Group‑IB die neue Android‑Malware Wonderland (früher WretchedCat) entdeckt, die gezielt Nutzer:innen in Usbekistan angreift.

Im Gegensatz zu früheren Trojanern, die sofort nach dem Öffnen einer Datei aktiv wurden, nutzen die Angreifer jetzt sogenannte Dropper‑Apps. Das sind harmlose‑aussehende Programme, die im Hintergrund die eigentliche Schadsoftware einschleusen – und das sogar ohne Internetverbindung.
Merke: Etwas das harmlos aussieht, ist es oft nicht.

Wie funktioniert Wonderland?

MerkmalErklärung
Bidirektionale C2‑KommunikationDie Malware bleibt ständig mit einem Server verbunden und kann in Echtzeit Befehle erhalten – zum Beispiel zum Senden von SMS oder zum Ausführen von USSD‑Codes*
*Unstructured Supplementary Service Data sind Service- und Steuerbefehle im GSM-Mobilfunknetz, bestehend aus Sternen (*), Rauten (#) und Ziffern, z. B.: Telefonnummer unterdrücken: #31# Rufnummer
Vortäuschung legitimer InhalteDie App tarnt sich als Google Play‑Store‑Eintrag, als Video, Foto oder sogar als Hochzeitseinladung. So denken Nutzer:innen, sie laden etwas Harmloses herunter.
Telegram‑KoordinationDie Hintermann‑Gruppe TrickyWonders organisiert alles über den Messenger Telegram. Dort werden auch gestohlene Telegram‑Accounts usbekischer Nutzer:innen gehandelt, um die Malware weiterzuverbreiten.
Zielgerichtete VerbreitungGefälschte Google‑Play‑Seiten, Facebook‑Werbung, falsche Profile in Dating‑Apps und direkte Nachrichten in Telegram werden genutzt, um die schädliche APK‑Datei zu verbreiten.
Gefährliche FunktionenSobald die App installiert ist, kann sie:
SMS‑Nachrichten auslesen und Einmal‑Passwörter (OTPs) abfangen
Bankkartendaten ausspähen und Geld von den Konten der Opfer abbuchen
Telefonbücher, Kontakte und installierte Apps exportieren
Push‑Benachrichtigungen ausblenden, damit die Nutzer:innen keine Warnungen sehen
Eigene SMS senden, um weitere Geräte zu infizieren

Warum ist das besonders gefährlich?

  1. Versteckte Installation – Um die App überhaupt zu installieren, muss der Nutzer erst die Option „Unbekannte Quellen zulassen“ aktivieren. Oft wird dies über einen irreführenden Update‑Hinweis erledigt („Installieren Sie das Update, um die App zu benutzen“).
  2. Selbst‑verstärkender Infektionszyklus – Nachdem das Opfer die App freigegeben hat, übernehmen die Angreifer die dort hinterlegte Telefonnummer, melden sich bei Telegram an und verbreiten die Malware erneut an die Kontakte des Opfers. So entsteht ein sich selbst verstärkendes Netzwerk.
  3. Starke Verschleierung – Sowohl der Dropper‑Teil als auch der eigentliche SMS‑Stealer sind stark verschleiert und enthalten Anti‑Analyse‑Mechanismen. Das macht das Aufspüren und Entschlüsseln für Sicherheitsexpert:innen sehr aufwendig.
  4. Dynamische Infrastruktur – Die Angreifer nutzen ständig wechselnde Domains, die nur kurzzeitig aktiv sind. Das erschwert das Blockieren durch herkömmliche Blacklists und verlängert die Lebensdauer ihrer Kommando‑und‑Kontroll‑Server (C2).

Wer steckt dahinter?

  • TrickyWonders – eine finanzorientierte Kriminellengruppe, die Telegram als Hauptkommunikationsplattform nutzt.
  • Workers – Untergruppen, die die eigentlichen APK‑Pakete erstellen (mithilfe eines speziellen Telegram‑Bots) und dafür einen Anteil der erbeuteten Gelder erhalten.
  • Gruppen‑Eigentümer:in, Entwickler:innen und „vbivers“ – Personen, die gestohlene Kreditkartendaten prüfen und weiterverkaufen.

Diese hierarchische Struktur erinnert an ein professionelles Unternehmen: klare Rollen, Gewinnbeteiligung und ein ausgefeiltes Vertriebsnetz.

Vorsicht ist besser als Nachsicht

  1. Nur Apps aus offiziellen Stores installieren – Vermeiden Sie das Herunterladen von APK‑Dateien aus unbekannten Quellen, wenn Sie nicht genau wissen, was sie tun.
  2. Installation aus unbekannten Quellen deaktivieren – Lassen Sie diese Einstellung nur aktiv, wenn Sie absolut sicher sind, was Sie installieren.
  3. Vorsicht bei ungewöhnlichen Updates – Wenn eine App plötzlich ein „Update“ verlangt, das nicht aus dem offiziellen Store kommt, schließen Sie die App sofort. Deinstallieren, denn da ist etwas oberfaul.
  4. Zwei‑Faktor‑Authentifizierung (2FA) – Aktivieren Sie 2FA, wo immer möglich, damit gestohlene SMS‑OTPs allein nicht ausreichen, um Konten zu übernehmen.
  5. Regelmäßige Sicherheitsupdates – Halten Sie Ihr Betriebssystem und Ihre Apps stets aktuell, um bekannte Schwachstellen zu schließen.
[https://www.group-ib.com/blog/mobile-malware-uzbekistan]