خلاصه اجرایی Vulnerbyte
تحقیقات جدید نشان میدهد اکوسیستم بدافزارهای اندرویدی وارد فاز صنعتی و مقیاسپذیر شده است؛ جایی که بدافزارها دیگر صرفاً SMS Stealer نیستند، بلکه با استفاده از Dropperهای چندلایه، ارتباط دوطرفه C2 و قابلیتهای RAT به ابزارهای تمامعیار سرقت مالی و نظارت تبدیل شدهاند.
نمونهی شاخص این تحول، بدافزاری به نام Wonderland است که کاربران ازبکستان را هدف قرار داده و نشاندهندهی بلوغ عملیاتی گروههای جرمسازمانیافته موبایلی است.
گذار از Trojan ساده به Dropperهای هوشمند
طبق تحلیل Group-IB، مهاجمان، دیگر APKهای «بدافزار خالص» منتشر نمیکنند.
الگوی جدید مبتنی بر Dropperهایی است که ظاهراً اپلیکیشن سالم هستند اما:
Payload مخرب رمزگذاریشده را در خود دارند
پس از نصب، بدون نیاز به اینترنت، بدافزار اصلی را فعال میکنند
از بسیاری از کنترلهای امنیتی عبور میکنند
این رویکرد باعث میشود:
اسکن استاتیک تقریباً بیاثر شود
شناسایی مبتنی بر Signature شکست بخورد
مهندسی معکوس زمانبر و پرهزینه شود
بدافزار اندرویدی Wonderland (نام قبلی: WretchedCat) | کالبدشکافی فنی
Wonderland یک SMS Stealer ساده نیست؛ بلکه یک عامل کنترلپذیر از راه دور است:
قابلیتهای کلیدی
ارتباط دوطرفه C2 (Real-Time)
سرقت SMS و OTP
اجرای درخواستهای USSD دلخواه
ارسال SMS از دستگاه قربانی (Lateral Movement)
مخفیسازی Notificationها برای دور زدن هشدارهای امنیتی
سرقت مخاطبین و شماره تلفن
تکنیکهای فریب کاربر
جعل Google Play
فایلهای ویدئویی، عکس، دعوتنامه عروسی
نمایش پیام «برای استفاده از برنامه، آپدیت را نصب کنید»
وادار کردن کاربر به فعالسازی Install from Unknown Sources
زنجیرهی آلودگی چرخشی (Cyclical Infection Chain)
پس از نصب و اعطای مجوزها:
بدافزار کنترل شماره تلفن را بهدست میگیرد
تلاش برای لاگین به اکانت Telegram قربانی
در صورت موفقیت:
انتشار APK به مخاطبین و چتها
تکرار چرخه آلودگی
این مدل توزیع، ترکیبی از Social Engineering + Hijacked Sessions است که اثربخشی بسیار بالایی دارد.
اکوسیستم Dropperها: MidnightDat و RoundRift
Wonderland توسط دو خانواده Dropper پشتیبانی میشود:
MidnightDat (از 27 آگوست 2025)
RoundRift (از 15 اکتبر 2025)
ویژگی مشترک:
Payload کاملاً رمزگذاریشده
Obfuscation سنگین
Anti-Analysis پیشرفته
بلوغ زیرساخت و معماری C2
از نگاه Vulnerbyte، این بخش مهمترین نشانه بلوغ است:
دامنههای با عمر کوتاه
C2 مجزا برای هر Build
Bot تلگرامی برای تولید APK
توزیع توسط «Worker»ها در ازای سهم مالی
این معماری:
Takedown را تقریباً بیاثر میکند
Blacklist-Based Defense را ناکارآمد میسازد
طول عمر عملیات را افزایش میدهد
ساختار سازمانی جرم سایبری
این عملیات فقط «چند هکر» نیست؛ یک بیزینس است:
Owner
Developer
Worker (توزیعکننده)
Validator (بررسی کارتهای سرقتی)
مدلی مشابه Cybercrime-as-a-Service.
موج جدید: Cellik، Frogblight و NexusRoute
Cellik
فروش در دارکوب (150 دلار ماهانه / 900 دلار دائمی)
قابلیتها:
Screen Streaming
Keylogger
Remote Camera/Mic
App Overlay
APK Builder یککلیکی
⚠️ خطرناکترین ویژگی:
امکان باندل RAT داخل اپهای قانونی Google Play تنها با یک کلیک.
Frogblight
هدف: کاربران ترکیه
روش: SMS Phishing با جعل ابلاغیه قضایی
قابلیتها:
سرقت اطلاعات بانکی
SMS، Call Log
مدیریت مخاطبین
در حال حرکت به سمت MaaS
NexusRoute
هدف: کاربران هند
جعل پرتالهای دولتی
میزبانی APK روی GitHub
سوءاستفاده از Accessibility Services
قابلیتها:
سرقت UPI PIN، OTP، کارت بانکی
GPS Tracking
Screenshot
Surveillance کامل
تحلیل نهایی Vulnerbyte
آنچه میبینیم:
صنعتیشدن بدافزارهای موبایل
ورود بازیگران کمتخصص با ابزارهای آماده
ترکیب فیشینگ، بدافزار، کلاهبرداری مالی و نظارت
📌 دیگر با «بدافزار موبایلی ساده» طرف نیستیم؛
📌 اینها پلتفرمهای جرم سایبری موبایلی هستند.
پیشنهادهای دفاعی Vulnerbyte
Disable کامل Sideloading در سازمان
MDM + Restriction Policy
تشخیص مبتنی بر Behavior نه Signature
آموزش کاربران در مورد Fake Update
مانیتورینگ USSD و SMS Abuse
Zero Trust برای Mobile Endpoint
