«Поздравляем, вы приглашены на свадьбу»: новая схема оставляет жителей Узбекистана с пустыми счетами
NewsMakerКод скрывается в файлах, которые не вызывают подозрений даже у осторожных пользователей.
В Центральной Азии, особенно в Узбекистане, стремительно растёт угроза со стороны мобильных вредоносов. В центре новой волны атак — программа Wonderland, за которой, по данным специалистов Group-IB, стоит группировка TrickyWonders. Вместо привычных троянов, активирующихся сразу после установки, теперь злоумышленники всё чаще маскируют вредонос под безобидные приложения. Такие загрузчики, не вызывая подозрений, активируют встроенный код даже офлайн.
Wonderland, ранее известная как WretchedCat, представляет собой продвинутый инструмент для перехвата SMS, в том числе одноразовых кодов, отправки USSD-запросов и выполнения команд в режиме реального времени. Она часто маскируется под официальные компоненты Google Play, а также под различные файлы — от видео до изображений и даже приглашений на свадьбу. Центральным узлом всей инфраструктуры стал Telegram — там координируются действия, создаются заражённые сборки и управляется весь процесс.
Для распространения используются загрузчики MidnightDat и RoundRift, впервые замеченные летом и осенью 2025 года. Через фальшивые сайты, рекламу в соцсетях и поддельные профили на платформах знакомств вредонос распространяется среди пользователей, причём в ход идут даже украденные сессии Telegram — так Wonderland заражает контакты жертвы, продолжая цепочку.
После установки программа незаметно получает доступ к сообщениям, контактам и другим данным, скрывает уведомления — включая банковские и с кодами подтверждения — и позволяет вычищать деньги с карт, а также рассылать вредонос от имени пользователя. Установка происходит после «обновления» — приложение просит включить установку из неизвестных источников, выдавая это за требование для работы.
В Центральной Азии, особенно в Узбекистане, стремительно растёт угроза со стороны мобильных вредоносов. В центре новой волны атак — программа Wonderland, за которой, по данным специалистов Group-IB, стоит группировка TrickyWonders. Вместо привычных троянов, активирующихся сразу после установки, теперь злоумышленники всё чаще маскируют вредонос под безобидные приложения. Такие загрузчики, не вызывая подозрений, активируют встроенный код даже офлайн.
Wonderland, ранее известная как WretchedCat, представляет собой продвинутый инструмент для перехвата SMS, в том числе одноразовых кодов, отправки USSD-запросов и выполнения команд в режиме реального времени. Она часто маскируется под официальные компоненты Google Play, а также под различные файлы — от видео до изображений и даже приглашений на свадьбу. Центральным узлом всей инфраструктуры стал Telegram — там координируются действия, создаются заражённые сборки и управляется весь процесс.
Для распространения используются загрузчики MidnightDat и RoundRift, впервые замеченные летом и осенью 2025 года. Через фальшивые сайты, рекламу в соцсетях и поддельные профили на платформах знакомств вредонос распространяется среди пользователей, причём в ход идут даже украденные сессии Telegram — так Wonderland заражает контакты жертвы, продолжая цепочку.
После установки программа незаметно получает доступ к сообщениям, контактам и другим данным, скрывает уведомления — включая банковские и с кодами подтверждения — и позволяет вычищать деньги с карт, а также рассылать вредонос от имени пользователя. Установка происходит после «обновления» — приложение просит включить установку из неизвестных источников, выдавая это за требование для работы.