文章总结： ResearchrevealsasurgeincomplexAndroidmalwareinCentralAsia,specificallytargetingUzbekistan.AttackershaveshiftedtousingDropperslikeMidnightDatandtheWonderlandSMSstealerfamilytoevadedetection.ThesethreatshijackTelegramaccountstospreadmaliciousAPKsandstealbankfundsviabidirectionalC2communicationallowingarbitrarySMSandUSSDrequests.Themalwareemploysadvancedevasiontechniquesincludinganti-analysischecksandencryption.Withonegangearningover$2million,thisevolutionsignifiesadangeroustrendtowardsmoresophisticated,remote-controlledmobilebankingTrojansdistributedviasocialmediaplatforms. 综合评分： 85 文章分类： 移动安全,恶意软件,威胁情报,社会工程学,免杀

骇人听闻：新型安卓“Dropper”恶意软件劫持Telegram盗取银行账户资金

原创

ZM

暗镜

2025年12月23日 13:43 北京

一股复杂的移动恶意软件浪潮正在席卷中亚，标志着网络犯罪分子针对安卓用户的攻击方式发生了危险的演变。Group-IB 的一项最新深度分析显示，乌兹别克斯坦的威胁行为者已经转变了策略，不再使用简单的恶意应用程序，而是转向更高级的“投放器”，并部署了一种名为“Wonderland”的新型高响应性恶意软件家族。

研究人员在 2025 年 10 月检测到这一激增现象后指出，该地区已成为日益复杂的网络武器的试验场。

报告中指出的最显著变化是传播方式。以前，攻击者会试图诱骗用户安装“纯粹”的木马程序。如今，他们使用一种被称为“投放器”的“木马”策略。

这些投放器旨在逃避软件的直接检测。“投放器表面看起来无害，但内置恶意载荷，即使没有网络连接，安装后也会在本地部署。” 通过伪装成合法的更新或无害的媒体文件，恶意软件在释放其真正载荷（通常是旨在窃取银行账户资金的短信窃取程序）之前，先在设备上站稳脚跟。

在众多新型威胁中，Wonderland 尤为突出，它是该地区首个大规模传播的安卓短信窃取程序，并具备双向命令与控制 (C2) 通信功能。与以往仅收集数据并将其发送至服务器的同类程序不同，Wonderland 会与其操作者进行对话。

“Wonderland 引入了双向命令与控制 (C2) 通信，用于实时执行命令，允许任意 USSD 请求和短信发送”。

此次升级意义重大，因为它使攻击者能够实时调整策略。他们可以执行任意 USSD 请求（通常用于管理电话服务或查询余额），并从受害者的手机发送短信，从而进一步传播感染。正如分析师所指出的，“这种架构将恶意软件从被动的数据窃取程序转变为远程控制的代理程序”。

这些威胁的传播严重依赖于乌兹别克斯坦最主要的即时通讯平台 Telegram。攻击者利用窃取的会话，通过可信联系人发送恶意软件，从而将该平台武器化。

报告证实，“Telegram 仍然是乌兹别克斯坦 Android 短信窃取程序的主要分发渠道”。

该攻击手法呈循环式：一旦用户安装了恶意软件，攻击者就会劫持其 Telegram 账户，将恶意 APK 文件转发给受害者的联系人，从而形成恶性循环。他们甚至利用冒充合法支付系统的虚假机器人（例如 @HUMOcardbot）直接窃取银行卡信息。

该报告概述了该地区恶意软件开发的快速成熟过程，并将其分为三个阶段：“预热”、“适应”和“现状”。当前阶段的特点是大量使用混淆和反分析技术。恶意软件现在会主动检查自身运行环境是研究环境（沙箱）还是已root的设备，如果检测到任何检查，则会立即终止。

MidnightDat 和 RoundRift 等特定投放器就体现了这种复杂性。例如，MidnightDat 使用原生库解密隐藏的有效载荷，并采用自定义的 XOR 加密和压缩技术，使最终的恶意 APK 文件免受静态分析工具的检测。

来自一个网络犯罪团伙的 Telegram 频道的数据显示，一个团伙在 2025 年获得了超过 200 万美元的利润，证实了这些攻击的有利可图性。

报告总结道，这种升级证明“入侵安卓设备的方法不仅变得越来越复杂，而且发展速度也越来越快”。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 ZM《骇人听闻：新型安卓“Dropper”恶意软件劫持Telegram盗取银行账户资金》