Operaciones de malware en Android combinan droppers, robo de SMS y capacidades RAT a gran escala

Investigadores de ciberseguridad han identificado una evolución significativa en las campañas de malware dirigidas a Android. Los atacantes están fusionando aplicaciones dropper, robo de SMS y funciones avanzadas de troyano de acceso remoto (RAT) en una sola operación altamente escalable.
El caso más reciente involucra al malware conocido como Wonderland, activo principalmente en Uzbekistán, pero con implicaciones claras para usuarios de Android a nivel global, especialmente en dispositivos desactualizados.

Detalles técnicos de la campaña

Las infecciones comienzan con droppers camuflados como aplicaciones legítimas, tales como reproductores de video, invitaciones o utilidades comunes. Una vez instalados, estos droppers despliegan el payload malicioso sin necesidad de conexión a internet, lo que reduce las oportunidades de detección temprana.

El malware Wonderland se comporta como un ladrón de SMS con capacidades RAT, permitiendo:

• Intercepción de SMS y códigos OTP bancarios

• Robo de contactos y notificaciones

• Exfiltración de datos sensibles

• Ejecución de comandos C2 bidireccionales, incluyendo USSD

• Ocultamiento de alertas y notificaciones del sistema

Un aspecto clave es que los builds del malware son generados automáticamente mediante bots de Telegram, asignando dominios C2 únicos por versión, lo que dificulta el bloqueo masivo y los takedowns de infraestructura.

Evolución de las tácticas de ataque

En campañas anteriores, los troyanos bancarios se distribuían como APKs maliciosos directos. La adopción de droppers modulares marca un cambio estratégico: permite escalar rápidamente las operaciones y adaptar cada build a objetivos específicos.

En América Latina, los investigadores observan patrones similares:

• Persistencia de vectores basados en SMS y APKs modificadas

• Uso de exploits antiguos, como Lotoor, para obtener root en dispositivos vulnerables

• Convergencia con RATs que abusan de los servicios de accesibilidad para capturar pantalla, ubicación GPS y audio del micrófono

Esta combinación amplía el impacto del malware más allá del fraude bancario, habilitando vigilancia y control remoto del dispositivo.

Impacto y recomendaciones de seguridad

Las campañas están claramente orientadas a la monetización mediante robo de fondos, apoyadas por un modelo de afiliados donde “workers” distribuyen el malware a cambio de comisiones.

Recomendaciones para usuarios:

• Evitar la instalación de APKs por sideloading

• Revisar y limitar permisos de accesibilidad

• Mantener el sistema Android actualizado

Recomendaciones para empresas y SOCs:

• Monitorear tráfico y dominios C2 asociados a droppers

• Analizar aplicaciones aparentemente legítimas con comportamiento offline sospechoso

• Correlacionar actividad SMS anómala con intentos de fraude

En países como México, estas técnicas coinciden con tendencias crecientes de phishing móvil y botnets en LATAM, lo que refuerza la necesidad de controles preventivos y concientización del usuario.