«Поздравляем, вы приглашены на свадьбу»: новая схема оставляет жителей Узбекистана с пустыми счетами

В Центральной Азии, особенно в Узбекистане, стремительно растёт угроза со стороны мобильных вредоносов. В центре новой волны атак — программа Wonderland, за которой, по данным специалистов Group-IB, стоит группировка TrickyWonders. Вместо привычных троянов, активирующихся сразу после установки, теперь злоумышленники всё чаще маскируют вредонос под безобидные приложения. Такие загрузчики, не вызывая подозрений, активируют встроенный код даже офлайн.

Wonderland, ранее известная как WretchedCat, представляет собой продвинутый инструмент для перехвата SMS, в том числе одноразовых кодов, отправки USSD-запросов и выполнения команд в режиме реального времени. Она часто маскируется под официальные компоненты Google Play, а также под различные файлы — от видео до изображений и даже приглашений на свадьбу. Центральным узлом всей инфраструктуры стал Telegram — там координируются действия, создаются заражённые сборки и управляется весь процесс.

Для распространения используются загрузчики MidnightDat и RoundRift, впервые замеченные летом и осенью 2025 года. Через фальшивые сайты, рекламу в соцсетях и поддельные профили на платформах знакомств вредонос распространяется среди пользователей, причём в ход идут даже украденные сессии Telegram — так Wonderland заражает контакты жертвы, продолжая цепочку.

После установки программа незаметно получает доступ к сообщениям, контактам и другим данным, скрывает уведомления — включая банковские и с кодами подтверждения — и позволяет вычищать деньги с карт, а также рассылать вредонос от имени пользователя. Установка происходит после «обновления» — приложение просит включить установку из неизвестных источников, выдавая это за требование для работы.

Каждая сборка связана с отдельным сервером управления, что затрудняет их отслеживание и отключение. За кулисами — не одиночки, а структурированная схема: разработчики, операторы, проверяющие данные. Вредонос распространяется по модели с прибылью «на долю» для исполнителей, получающих часть похищенных средств.

Параллельно фиксируются и другие угрозы. Так, Cellik — вредонос с функциями съёма нажатий, удалённого доступа к камере и микрофону, перехвата данных и подмены интерфейса — продаётся на теневых форумах как готовый инструмент с возможностью генерации заражённых APK-файлов всего за один клик.

В Турции действует Frogblight — вредонос, замаскированный под судебные документы, крадущий банковские данные и SMS. Его развитие указывает на подготовку к модели распространения как «вредонос по подписке».

А в Индии обнаружен NexusRoute — троян, распространяемый через фишинговые копии государственных сайтов. Он похищает банковские данные, PIN-коды, номера карт, отслеживает устройство и использует функции Android, чтобы закрепиться в системе. Анализ показал, что это часть масштабной и хорошо организованной схемы наблюдения и мошенничества.

Современные мобильные угрозы становятся сложнее и масштабнее, а доступ к ним — проще. Сценарии заражения автоматизируются, инфраструктура распределяется, и даже технически неподготовленные участники могут запускать полноценные вредоносные кампании.