Le campagne di malware Android stanno diventando sempre più complesse e industrializzate, combinando tecniche di distribuzione, furto di dati e controllo remoto in un unico ecosistema criminale. Un esempio rilevante è Wonderland, un SMS stealer che colpisce soprattutto utenti in Uzbekistan e che viene diffuso tramite app dropper camuffate da applicazioni legittime. A differenza dei vecchi trojan Android che si attivavano subito dopo l’installazione, i dropper appaiono innocui ma contengono un payload malevolo integrato che viene rilasciato localmente, anche senza connessione Internet, rendendo più difficile l’individuazione.
Wonderland si presenta spesso come Google Play o come file apparentemente comuni come video, foto o inviti di nozze. Una volta ottenuti i permessi, il malware abilita comunicazioni bidirezionali con un server di comando e controllo, permettendo agli attaccanti di eseguire comandi in tempo reale, inclusi richieste USSD e intercettazione SMS. L’obiettivo principale è il furto di OTP, codici temporanei usati per l’autenticazione bancaria, che vengono poi sfruttati per sottrarre fondi dalle carte delle vittime. Tra le funzionalità aggiuntive ci sono l’esfiltrazione della rubrica, il recupero del numero di telefono, l’occultamento di notifiche push per bloccare avvisi di sicurezza e la capacità di inviare SMS dal dispositivo compromesso per propagarsi.
La distribuzione avviene tramite finte pagine web stile Play Store, campagne pubblicitarie sui social, profili falsi su app di dating e canali di messaggistica. Un elemento critico è l’abuso di sessioni Telegram rubate e rivendute, usate per inviare APK direttamente a contatti e chat della vittima, creando una catena di infezione ciclica. Per installare l’app, gli utenti vengono convinti ad abilitare le origini sconosciute tramite finte schermate di aggiornamento.
L’infrastruttura è progettata per resistere ai blocchi, con domini che cambiano rapidamente e build generate tramite bot, spesso assegnate a diversi operatori che guadagnano una percentuale sulle frodi. Questo modello mostra come il malware mobile Android stia evolvendo verso operazioni scalabili, con offuscamento avanzato e tecniche anti-analisi che rallentano il reverse engineering e complicano le difese basate su blacklist.