«¡Felicidades, está invitado a una boda!»: nueva estafa deja a los residentes de Uzbekistán con las cuentas vacías
Archivos aparentemente inocuos esconden código que pasa desapercibido incluso para usuarios precavidos.
En Asia Central, especialmente en Uzbekistán, la amenaza de malware móvil está creciendo rápidamente. En el centro de la nueva ola de ataques está el programa Wonderland, detrás de la cual, según los datos de los especialistas de Group-IB, se encuentra el grupo TrickyWonders. En lugar de los troyanos habituales que se activan justo después de la instalación, los atacantes cada vez más suelen ocultar el malware bajo aplicaciones aparentemente inofensivas. Estos cargadores, sin levantar sospechas, activan el código integrado incluso sin conexión.
Wonderland, anteriormente conocida como WretchedCat, es una herramienta avanzada para interceptar SMS, incluidos códigos de un solo uso, enviar solicitudes USSD y ejecutar comandos en tiempo real. A menudo se disfraza de componentes oficiales de Google Play, así como de distintos archivos —desde vídeos hasta imágenes e incluso invitaciones de boda. Telegram se ha convertido en el nodo central de toda la infraestructura: allí se coordinan las acciones, se crean las compilaciones infectadas y se administra todo el proceso.
Para su difusión se utilizan los cargadores MidnightDat y RoundRift, observados por primera vez en el verano y el otoño de 2025. A través de sitios falsos, publicidad en redes sociales y perfiles falsos en plataformas de citas, el malware se propaga entre los usuarios; incluso se usan sesiones de Telegram robadas —así Wonderland infecta los contactos de la víctima, prolongando la cadena.
Tras la instalación, el programa obtiene discretamente acceso a mensajes, contactos y otros datos, oculta las notificaciones —incluidas las bancarias y las que contienen códigos de verificación— y permite vaciar dinero de tarjetas, así como enviar malware en nombre del usuario. La instalación se produce tras una 'actualización': la aplicación solicita habilitar la instalación desde orígenes desconocidos, presentándolo como un requisito para funcionar.
Cada compilación está vinculada a un servidor de comando y control separado, lo que dificulta su seguimiento y desconexión. Detrás no hay individuos aislados, sino un esquema estructurado: desarrolladores, operadores y verificadores de datos. El malware se distribuye mediante un modelo de beneficios "por cuota" para los ejecutores que reciben una parte de los fondos robados.
Paralelamente se detectan otras amenazas. Así, Cellik —un malware con funciones de registro de pulsaciones, acceso remoto a la cámara y al micrófono, interceptación de datos y suplantación de interfaces— se vende en foros clandestinos como una herramienta lista para usar con la posibilidad de generar archivos APK infectados con un solo clic.
En Turquía actúa Frogblight —un malware camuflado como documentos judiciales, que roba datos bancarios y SMS. Su evolución apunta a una preparación para un modelo de distribución tipo "malware por suscripción".
Y en India se ha detectado NexusRoute —un troyano que se distribuye mediante copias de sitios gubernamentales en campañas de phishing. Roba datos bancarios, códigos PIN, números de tarjeta, rastrea el dispositivo y utiliza funciones de Android para afianzarse en el sistema. El análisis mostró que forma parte de un esquema de vigilancia y fraude a gran escala y bien organizado.
Las amenazas móviles actuales se vuelven más complejas y de mayor alcance, y el acceso a ellas es más sencillo. Los escenarios de infección se automatizan, la infraestructura se distribuye y hasta participantes sin preparación técnica pueden lanzar campañas de malware completas.