Group-IBのセキュリティ研究者は、ウズベキスタン全土のユーザーを標的とするSMS窃取型脅威の大きな進化を示す、高度な新しいAndroidマルウェアファミリー「Wonderland」を発見しました。
従来の地域マルウェアが単純な一方向のデータ流出に依存していたのとは異なり、WonderlandはWebSocketベースの双方向コマンド&コントロール(C2)通信を実装し、感染端末をリアルタイムで任意のコマンドを実行できる遠隔操作エージェントへと変貌させます。
2025年10月以降に追跡されているこのマルウェアキャンペーンは、攻撃者の戦術における根本的な転換を示しています。
脅威アクターは、直接的なトロイの木馬の配布を捨て、正規ソフトウェアを装ったドロッパーアプリを用いる多段階の感染チェーンへ移行しました。
これらのドロッパーは初回のセキュリティスキャンでは無害に見え、悪性ペイロードは暗号化されてアプリケーションのassetsフォルダに保存されています。
インストールされると、ドロッパーはインターネット接続を必要とせずにSMSスティーラーを密かに展開し、従来の検知メカニズムを回避しながら感染成功率を大幅に高めます。
高度な技術的能力
Wonderlandの最も際立った特徴は、リアルタイムのC2通信にWebSocketプロトコルを実装している点です。
脅威アクターは悪性アプリケーションのパッケージ名を頻繁に変更します。場合によっては日次で変更され、名前ベースの検知はほとんど効果を失います。
Graph Messengerのような代替TelegramクライアントやTelegram X playが重要な役割を担っており、全連絡先へのメッセージ転送を可能にする機能や、ログイン制限を回避するSMSベースの認証機能を備えています。
このアーキテクチャにより、運用者は任意のUSSDリクエスト、SMSメッセージ送信、通知の抑制など、動的なコマンドを発行できます。
コマンド処理コードは受信した指示を振り分け、通信事業者固有の更新を必要とせずに、その場で着信転送を有効化できるよう攻撃者に許可します。これは、USSDコードをハードコードしていたAjinaやQwizzserialといった従来のマルウェアファミリーと比べ、前例のない運用上の柔軟性を提供します。
このマルウェアは、エミュレーター検知、root判定、Fridaインストゥルメンテーションフレームワーク検知など、高度な解析妨害機能を組み込んでいます。
セキュリティ研究者やサンドボックスが解析を試みると、Wonderlandはfinish()メソッドによって直ちに活動を終了し、挙動観測やネットワークトラフィックの取得を阻止します。
コードベースは、クラス名やパッケージ名を長い反復文字列に置き換える高度な難読化手法を用いており、セキュリティ専門家にとって手動解析を極めて困難にしています。
配布インフラの進化
Group-IBの研究者は、脅威アクターがTelegramボットを通じて作業者に独自ドメインの登録を求める、分散型のC2インフラを特定しました。
このボットは、トラフィックを主要C2サーバーへルーティングするネームサーバーを提供し、テイクダウンに対する耐性を生み出します。当局が1つのドメインを押収しても、その特定ドメインに紐づくビルドだけが無効化され、主要インフラは稼働し続けます。
主な配布は、ダークネット市場で購入された侵害済みTelegramアカウントを通じて行われます。攻撃者は盗まれたセッションを利用し、遅延送信機能を使ってチャンネルから被害者の「保存済みメッセージ」へ悪性APKを転送し、循環的な感染チェーンを作り出します。
追跡対象のサイバー犯罪者Telegramチャンネルのデータによれば、単一グループが2025年に200万ドル超を稼ぎ出しており、同地域におけるSMSスティーラー進化の甚大な金銭的影響が裏付けられています。
Group-IB Fraud Protectionは、ドロッパーとSMSスティーラーの両コンポーネントを標的とする検知ルールを開発しており、パターンベースの識別により配布手法に依存せず新しいサンプルを検知できます。
セキュリティ専門家は、ウズベキスタンの脅威環境に特有のソーシャルエンジニアリング手口を見抜くことに焦点を当てた、振る舞い検知、アプリケーションの許可リスト化、定期的なセキュリティ意識向上トレーニングを含む包括的な監視戦略を組織が実装することを推奨しています。
翻訳元: https://gbhackers.com/wonderland-android-malware/
