網(wǎng)絡(luò)安全公司Group-IB最新發(fā)現(xiàn)一個名為Qwizzserial的新型安卓惡意軟件家族正在烏茲別克斯坦肆虐，通過利用該國對短信雙重認證（2FA）的依賴，竊取了數(shù)千名移動用戶的敏感財務(wù)數(shù)據(jù)。

新型Telegram驅(qū)動的惡意軟件分發(fā)模式

Qwizzserial代表了新一代安卓惡意軟件攻擊活動，其特點是利用Telegram機器人自動生成并分發(fā)惡意APK文件，使網(wǎng)絡(luò)犯罪分子能夠發(fā)起高度可擴展的本地化攻擊。研究報告指出："這項研究揭露了此前未知的安卓短信竊取程序家族...根據(jù)其主活動組件的Java包名將其命名為Qwizzserial"。

針對烏茲別克金融系統(tǒng)的精準攻擊

該攻擊活動高度針對烏茲別克用戶，當?shù)厝砸远绦抛鳛樵诰€金融交易的主要驗證方式。由于生物識別或3D Secure技術(shù)普及有限，包括P2P轉(zhuǎn)賬、移動支付和應(yīng)用授權(quán)在內(nèi)的大多數(shù)服務(wù)仍僅依賴短信作為唯一安全層。報告警告稱："支付系統(tǒng)對短信認證的依賴意味著欺詐者可以攔截短信，從而控制受害者的資金"。

偽裝成政府服務(wù)的傳播手段

攻擊者利用偽裝成官方政府服務(wù)的Telegram頻道，通過名為"這些是你的照片嗎？"或"總統(tǒng)支持"的欺騙性APK文件，誘騙受害者以獲取經(jīng)濟援助為名下載惡意軟件。報告解釋稱："威脅行為者通常使用欺騙性文件名偽裝惡意軟件...經(jīng)常創(chuàng)建冒充官方政府機構(gòu)的Telegram頻道"。這些頻道的截圖顯示偽造的總統(tǒng)令和政府援助表格——這些內(nèi)容旨在建立信任并誘騙公民下載含有惡意軟件的應(yīng)用程序。

高度組織化的犯罪架構(gòu)

該活動模仿了Classiscam模式，但不是使用傳統(tǒng)釣魚鏈接，而是分發(fā)完全武器化的APK文件。Telegram機器人自動創(chuàng)建這些虛假應(yīng)用，并管理威脅行為者之間的群聊——包括管理員、"工作人員"、卡片驗證者("vbivers")和欺詐培訓師。報告強調(diào)："Telegram機器人扮演核心角色...用于生成惡意應(yīng)用程序并授予內(nèi)部群聊訪問權(quán)限"。

驚人的感染態(tài)勢與經(jīng)濟收益

根據(jù)其"利潤"Telegram頻道公布的數(shù)據(jù)，僅2025年3月至6月的三個月內(nèi)，一個Qwizzserial犯罪團伙就獲利超過6.2萬美元。該活動通過1200多個惡意軟件變種感染了約10萬臺設(shè)備，其中許多偽裝成金融服務(wù)應(yīng)用。Group-IB的遙測數(shù)據(jù)顯示新樣本數(shù)量每日遞增，并呈現(xiàn)帕累托分布——25%的樣本造成了80%的感染。

惡意軟件功能分析

安裝并獲取權(quán)限后，Qwizzserial會執(zhí)行以下操作：

(1) 請求讀取/接收短信、通話權(quán)限，并重復(fù)提示直至獲得授權(quán)

(2) 誘導(dǎo)用戶輸入銀行卡數(shù)據(jù)和電話號碼

(3) 竊?。?/p>

• 完整短信歷史記錄
• 通訊錄
• 已安裝的金融應(yīng)用
• SIM卡詳細信息
• 設(shè)備和網(wǎng)絡(luò)元數(shù)據(jù)

(4) 使用正則表達式掃描與賬戶余額或大額資金相關(guān)的短信

(5) 通過Telegram API將數(shù)據(jù)發(fā)送至欺詐團隊專用聊天室

(6) 最新版本中，先通過HTTP網(wǎng)關(guān)服務(wù)器外傳數(shù)據(jù)，再轉(zhuǎn)發(fā)至Telegram機器人

報告指出："上述所有數(shù)據(jù)都通過Telegram機器人外傳至四個不同的聊天室，每個聊天室專用于特定類型的消息"。

持續(xù)演變的規(guī)避技術(shù)

最新變種（如偽裝成"視頻"應(yīng)用的版本）開始使用NP Manager和Allatori Demo進行混淆，并添加了禁用電池優(yōu)化等持久化功能，使惡意軟件可無限期保持活躍。報告補充道："近期樣本還包含未使用的Java包NPStringFog和NPProtect，暗示未來可能的使用計劃"。這些版本不再直接索要銀行卡信息，而是依靠攔截短信中的一次性密碼(OTP)在后臺靜默訪問銀行應(yīng)用。

Qwizzserial是威脅行為者如何將網(wǎng)絡(luò)犯罪即服務(wù)(CaaS)模式（如Classiscam）應(yīng)用于移動惡意軟件部署的典型案例。通過使用Telegram機器人實現(xiàn)惡意軟件自動化，并針對烏茲別克受害者進行本地化攻擊，該活動展示了低成本工具和基礎(chǔ)設(shè)施如何實現(xiàn)大規(guī)模高影響力的金融欺詐。