基于 Telegram 的安卓短信窃取程序已感染十万台设备

网络安全公司Group-IB最新发现一个名为Qwizzserial的新型安卓恶意软件家族正在乌兹别克斯坦肆虐，通过利用该国对短信双重认证（2FA）的依赖，窃取了数千名移动用户的敏感财务数据。

新型Telegram驱动的恶意软件分发模式

Qwizzserial代表了新一代安卓恶意软件攻击活动，其特点是利用Telegram机器人自动生成并分发恶意APK文件，使网络犯罪分子能够发起高度可扩展的本地化攻击。研究报告指出："这项研究揭露了此前未知的安卓短信窃取程序家族...根据其主活动组件的Java包名将其命名为Qwizzserial"。

针对乌兹别克金融系统的精准攻击

该攻击活动高度针对乌兹别克用户，当地仍以短信作为在线金融交易的主要验证方式。由于生物识别或3D Secure技术普及有限，包括P2P转账、移动支付和应用授权在内的大多数服务仍仅依赖短信作为唯一安全层。报告警告称："支付系统对短信认证的依赖意味着欺诈者可以拦截短信，从而控制受害者的资金"。

伪装成政府服务的传播手段

攻击者利用伪装成官方政府服务的Telegram频道，通过名为"这些是你的照片吗？"或"总统支持"的欺骗性APK文件，诱骗受害者以获取经济援助为名下载恶意软件。报告解释称："威胁行为者通常使用欺骗性文件名伪装恶意软件...经常创建冒充官方政府机构的Telegram频道"。这些频道的截图显示伪造的总统令和政府援助表格——这些内容旨在建立信任并诱骗公民下载含有恶意软件的应用程序。

高度组织化的犯罪架构

该活动模仿了Classiscam模式，但不是使用传统钓鱼链接，而是分发完全武器化的APK文件。Telegram机器人自动创建这些虚假应用，并管理威胁行为者之间的群聊——包括管理员、"工作人员"、卡片验证者("vbivers")和欺诈培训师。报告强调："Telegram机器人扮演核心角色...用于生成恶意应用程序并授予内部群聊访问权限"。

惊人的感染态势与经济收益

根据其"利润"Telegram频道公布的数据，仅2025年3月至6月的三个月内，一个Qwizzserial犯罪团伙就获利超过6.2万美元。该活动通过1200多个恶意软件变种感染了约10万台设备，其中许多伪装成金融服务应用。Group-IB的遥测数据显示新样本数量每日递增，并呈现帕累托分布——25%的样本造成了80%的感染。

恶意软件功能分析

安装并获取权限后，Qwizzserial会执行以下操作：

(1) 请求读取/接收短信、通话权限，并重复提示直至获得授权

(2) 诱导用户输入银行卡数据和电话号码

(3) 窃取：

完整短信历史记录通讯录已安装的金融应用SIM卡详细信息设备和网络元数据

(4) 使用正则表达式扫描与账户余额或大额资金相关的短信

(5) 通过Telegram API将数据发送至欺诈团队专用聊天室

(6) 最新版本中，先通过HTTP网关服务器外传数据，再转发至Telegram机器人

报告指出："上述所有数据都通过Telegram机器人外传至四个不同的聊天室，每个聊天室专用于特定类型的消息"。

持续演变的规避技术

最新变种（如伪装成"视频"应用的版本）开始使用NP Manager和Allatori Demo进行混淆，并添加了禁用电池优化等持久化功能，使恶意软件可无限期保持活跃。报告补充道："近期样本还包含未使用的Java包NPStringFog和NPProtect，暗示未来可能的使用计划"。这些版本不再直接索要银行卡信息，而是依靠拦截短信中的一次性密码(OTP)在后台静默访问银行应用。

Qwizzserial是威胁行为者如何将网络犯罪即服务(CaaS)模式（如Classiscam）应用于移动恶意软件部署的典型案例。通过使用Telegram机器人实现恶意软件自动化，并针对乌兹别克受害者进行本地化攻击，该活动展示了低成本工具和基础设施如何实现大规模高影响力的金融欺诈。