Investigadores en ciberseguridad han identificado una campaña avanzada de malware para Android que aprovecha aplicaciones maliciosas disfrazadas de software legítimo para distribuir un ladrón de SMS conocido como Wonderland, en ataques altamente dirigidos contra usuarios en Uzbekistán. Esta operación marca una evolución significativa en el ecosistema de amenazas móviles de la región, combinando ingeniería social, aplicaciones cuentagotas, comunicación C2 bidireccional y fraude financiero organizado.
Según un análisis publicado por Group-IB, los atacantes han abandonado en gran medida el uso de APK troyanos “puros”, que ejecutaban acciones maliciosas inmediatamente tras su instalación. En su lugar, ahora despliegan lanzadores maliciosos cuidadosamente camuflados como aplicaciones legítimas, cuyo comportamiento inicial parece inofensivo.
“El lanzador parece benigno en la superficie, pero contiene una carga maliciosa integrada que se despliega localmente tras la instalación, incluso sin una conexión activa a Internet”, explicó Group-IB.
Wonderland: de WretchedCat a una plataforma de fraude activa
El malware Wonderland, anteriormente conocido como WretchedCat, actúa como un stealer de SMS con capacidades avanzadas, permitiendo comunicación bidireccional de mando y control (C2). Esto transforma la amenaza de un simple ladrón pasivo de mensajes a un agente activo controlado remotamente, capaz de ejecutar comandos en tiempo real.
Entre sus funciones principales se incluyen:
-
Interceptación de mensajes SMS y códigos OTP
-
Ejecución de solicitudes USSD arbitrarias
-
Obtención del número de teléfono de la víctima
-
Extracción de listas de contactos
-
Ocultamiento de notificaciones push para suprimir alertas de seguridad
-
Envío de SMS desde el dispositivo infectado para movimiento lateral
El malware se disfraza como Google Play, archivos multimedia (vídeos o fotos) o incluso invitaciones de boda, explotando la confianza del usuario para inducir la instalación.
Infraestructura criminal y uso de Telegram
El actor detrás de esta operación, identificado como TrickyWonders, está motivado financieramente y utiliza Telegram como plataforma central para coordinar la campaña. Descubierto por primera vez en noviembre de 2023, el grupo también es responsable de dos familias de malware tipo dropper diseñadas para ocultar cargas cifradas:
-
MidnightDat (detectado el 27 de agosto de 2025)
-
RoundRift (detectado el 15 de octubre de 2025)
Estas aplicaciones cuentagotas son estratégicas porque evaden controles de seguridad al parecer inofensivas, mientras que tanto el dropper como el stealer están altamente ofuscados e incorporan técnicas anti-análisis que dificultan la ingeniería inversa.
Vectores de infección y abuso de Telegram
Wonderland se propaga mediante múltiples canales, entre ellos:
-
Páginas web falsas que imitan Google Play Store
-
Anuncios maliciosos en Facebook
-
Cuentas falsas en aplicaciones de citas
-
Mensajería directa en Telegram
Uno de los métodos más efectivos consiste en abusar de sesiones de Telegram robadas a usuarios uzbekos, que se venden en mercados de la dark web. Desde estas cuentas comprometidas, los atacantes distribuyen APK maliciosos directamente a contactos y chats, aumentando drásticamente la tasa de infección.
Una vez instalado el malware, los atacantes secuestran el número de teléfono de la víctima e intentan iniciar sesión en la cuenta de Telegram asociada. Si el acceso tiene éxito, el proceso se repite, creando una cadena de infección cíclica altamente eficaz.
Instalación mediante abuso de “fuentes desconocidas”
Para que el ataque tenga éxito, los usuarios deben habilitar manualmente la opción de instalar aplicaciones desde fuentes desconocidas. Los atacantes lo consiguen mostrando una falsa pantalla de actualización que indica que es necesario “instalar la actualización para usar la app”.
Tras conceder los permisos, el malware entra en pleno funcionamiento y comienza a interceptar OTPs, que luego se utilizan para desviar fondos de tarjetas bancarias y ejecutar fraude financiero.

Evolución del malware móvil en Uzbekistán
Group-IB señala que Wonderland representa la última etapa en la evolución del malware móvil en Uzbekistán. La región ha pasado de amenazas básicas como Ajina.Banker, que dependía de campañas masivas de spam, a familias más sofisticadas como Qwizzserial, que ya se ocultaban en archivos multimedia aparentemente inocentes.
El uso de infraestructura C2 dinámica, con dominios que cambian rápidamente y se reutilizan solo para un número limitado de compilaciones, dificulta la detección, rompe defensas basadas en listas negras y prolonga la vida útil de los canales de mando y control.
Las compilaciones de APK maliciosos se generan mediante un bot dedicado en Telegram y se distribuyen por actores conocidos como “trabajadores”, que reciben una parte de los fondos robados. La operación también incluye propietarios de grupos, desarrolladores y validadores, reflejando una estructura criminal jerárquica y madura.
Un fenómeno global: Cellik, Frogblight y NexusRoute
La campaña Wonderland coincide con la aparición de nuevas familias de malware Android a nivel global. Entre ellas destaca Cellik, un troyano vendido en la dark web con precios desde 150 dólares al mes, que incluye:
-
Streaming de pantalla en tiempo real
-
Keylogging
-
Acceso remoto a cámara y micrófono
-
Superposiciones de apps para robo de credenciales
-
Generador de APK de un solo clic que incrusta el malware en apps legítimas de Google Play
En Turquía, Frogblight se distribuye mediante SMS de phishing que simulan documentos judiciales. El malware roba credenciales bancarias, SMS, registros de llamadas y gestiona contactos, y parece estar evolucionando hacia un modelo MaaS (malware como servicio).
Por su parte, NexusRoute ha atacado recientemente a usuarios en India usando portales gubernamentales falsos para distribuir APKs maliciosos desde repositorios públicos y GitHub. Este RAT totalmente ofuscado roba datos financieros, OTPs, PINs UPI y abusa de los servicios de accesibilidad para vigilancia persistente.
Una amenaza móvil cada vez más profesional
“El uso de marca gubernamental, flujos de pago legítimos y portales de servicios ciudadanos demuestra cómo los actores maliciosos están elevando el nivel de sofisticación”, advirtió CYFIRMA. El análisis de NexusRoute sugiere que forma parte de una infraestructura de fraude y vigilancia profesionalmente mantenida.
En conjunto, estas campañas confirman una tendencia clara: el malware para Android se está industrializando, permitiendo que incluso actores con escasa experiencia técnica ejecuten operaciones móviles a gran escala con un impacto financiero y de privacidad cada vez mayor.
Fuente: The Hacker News
