Una nueva campaña de malware de Android que distribuye un robador de SMS previamente no identificado ha infectado casi 100,000 dispositivos, principalmente en Uzbekistán. El malware, denominado Qwizzserial, fue identificado por investigadores del Grupo EB durante una investigación más amplia sobre actividades cibercriminales vinculadas a la familia de malware Ajina. Distribución de telegrama y una estructura familiar El malware Qwizzserial se está extendiendo a través de Telegram, donde los cibercriminales se plantean como agencias gubernamentales que ofrecen ayuda financiera. Los estafadores disfrazan las aplicaciones maliciosas que utilizan títulos como «apoyo presidencial» o «asistencia financiera», engañando a los usuarios para que los apks cargados de malware de forma lateral. Estos canales de telegrama a menudo publican decretos del gobierno falso para ganar credibilidad. La campaña imita el modelo de fraude Classiscam, pero en lugar de los enlaces de phishing, utiliza bots de telegrama para generar robadores de APK. Estos bots también administran canales de coordinación del equipo, incorporación para nuevos participantes y un «canal de ganancias» que muestra ganancias. Un solo grupo detrás del esquema ganó al menos $ 62,000 entre marzo y junio de 2025. Lea más sobre tácticas de cibercrimen basadas en telegramas: Fraudsters Explote la popularidad de Telegram para la autenticación basada en SMS de Toncoin Scam Qwizzserial Scam y Evolution Qwizzserial. Una vez instalada, la aplicación solicita acceso al estado del teléfono y los permisos de SMS, luego recolecta datos confidenciales como: números de teléfono y un número de tarjeta bancaria con bandeja de entrada SMS de fecha de caducidad, enviado y otros mensajes, archivados como detalles de los archivos zip de ZIP de los archivos de la tarjeta SIM de las aplicaciones bancarias de Uzbek, incluidos los códigos MCC/MNC y el nombre de los carteros también los mensajes de los mensajes de malware para los mensajes de la banca y las grandes sumas de 500,000). La exfiltración ocurre a través de bots de telegrama o, en variantes más nuevas, a través de un servidor de puerta utilizando solicitudes de publicación HTTP. Las versiones recientes muestran una persistencia adicional, como las solicitudes para deshabilitar la optimización de la batería, y ya no solicitan datos de la tarjeta bancaria directamente. En cambio, los atacantes ahora pueden confiar en credenciales comprometidas para acceder a aplicaciones bancarias. Una amenaza creciente según el grupo-IB, el impacto de Qwizzserial es amplificada por la dependencia de Uzbekistán de SMS como la única capa de autenticación en los pagos digitales. La falta de protecciones más fuertes, como la biometría o la seguridad 3D, permite a los actores de amenaza explotar este único punto de falla de manera efectiva. «Esta campaña muestra cómo están evolucionando las operaciones de estilo classiscam», dijo la compañía. «Los actores de amenaza ajustan constantemente sus tácticas para mantenerse al día con los cambios en los hábitos de usuario, las medidas de seguridad y las políticas de la plataforma. En lugar de usar enlaces de phishing, ahora difunden archivos APK maliciosos a través de Telegram, lo que hace que el proceso sea más eficiente, más difícil de rastrear y más fácil para que los nuevos ciberdelincuentes se unan». Para mitigar el riesgo, Group-IB aconseja a los usuarios que eviten la instalación de aplicaciones de fuentes no oficiales y revisen cuidadosamente los permisos de aplicaciones. Se recomienda a las empresas que controlen las sesiones de usuario, lance campañas de concientización y adopten sistemas de detección basados ​​en el comportamiento.