網絡安全公司Group-IB最新發現一個名為Qwizzserial的新型安卓惡意軟件家族正在烏茲別克斯坦肆虐，通過利用該國對短信雙重認證（2FA）的依賴，竊取了數千名移動用戶的敏感財務數據。

新型Telegram驅動的惡意軟件分發模式

Qwizzserial代表了新一代安卓惡意軟件攻擊活動，其特點是利用Telegram機器人自動生成并分發惡意APK文件，使網絡犯罪分子能夠發起高度可擴展的本地化攻擊。研究報告指出："這項研究揭露了此前未知的安卓短信竊取程序家族...根據其主活動組件的Java包名將其命名為Qwizzserial"。

針對烏茲別克金融系統的精準攻擊

該攻擊活動高度針對烏茲別克用戶，當地仍以短信作為在線金融交易的主要驗證方式。由于生物識別或3D Secure技術普及有限，包括P2P轉賬、移動支付和應用授權在內的大多數服務仍僅依賴短信作為唯一安全層。報告警告稱："支付系統對短信認證的依賴意味著欺詐者可以攔截短信，從而控制受害者的資金"。

偽裝成政府服務的傳播手段

攻擊者利用偽裝成官方政府服務的Telegram頻道，通過名為"這些是你的照片嗎？"或"總統支持"的欺騙性APK文件，誘騙受害者以獲取經濟援助為名下載惡意軟件。報告解釋稱："威脅行為者通常使用欺騙性文件名偽裝惡意軟件...經常創建冒充官方政府機構的Telegram頻道"。這些頻道的截圖顯示偽造的總統令和政府援助表格——這些內容旨在建立信任并誘騙公民下載含有惡意軟件的應用程序。

高度組織化的犯罪架構

該活動模仿了Classiscam模式，但不是使用傳統釣魚鏈接，而是分發完全武器化的APK文件。Telegram機器人自動創建這些虛假應用，并管理威脅行為者之間的群聊——包括管理員、"工作人員"、卡片驗證者("vbivers")和欺詐培訓師。報告強調："Telegram機器人扮演核心角色...用于生成惡意應用程序并授予內部群聊訪問權限"。

驚人的感染態勢與經濟收益

根據其"利潤"Telegram頻道公布的數據，僅2025年3月至6月的三個月內，一個Qwizzserial犯罪團伙就獲利超過6.2萬美元。該活動通過1200多個惡意軟件變種感染了約10萬臺設備，其中許多偽裝成金融服務應用。Group-IB的遙測數據顯示新樣本數量每日遞增，并呈現帕累托分布——25%的樣本造成了80%的感染。

惡意軟件功能分析

安裝并獲取權限后，Qwizzserial會執行以下操作：

(1) 請求讀取/接收短信、通話權限，并重復提示直至獲得授權

(2) 誘導用戶輸入銀行卡數據和電話號碼

(3) 竊?。?/p>

• 完整短信歷史記錄
• 通訊錄
• 已安裝的金融應用
• SIM卡詳細信息
• 設備和網絡元數據

(4) 使用正則表達式掃描與賬戶余額或大額資金相關的短信

(5) 通過Telegram API將數據發送至欺詐團隊專用聊天室

(6) 最新版本中，先通過HTTP網關服務器外傳數據，再轉發至Telegram機器人

報告指出："上述所有數據都通過Telegram機器人外傳至四個不同的聊天室，每個聊天室專用于特定類型的消息"。

持續演變的規避技術

最新變種（如偽裝成"視頻"應用的版本）開始使用NP Manager和Allatori Demo進行混淆，并添加了禁用電池優化等持久化功能，使惡意軟件可無限期保持活躍。報告補充道："近期樣本還包含未使用的Java包NPStringFog和NPProtect，暗示未來可能的使用計劃"。這些版本不再直接索要銀行卡信息，而是依靠攔截短信中的一次性密碼(OTP)在后臺靜默訪問銀行應用。

Qwizzserial是威脅行為者如何將網絡犯罪即服務(CaaS)模式（如Classiscam）應用于移動惡意軟件部署的典型案例。通過使用Telegram機器人實現惡意軟件自動化，并針對烏茲別克受害者進行本地化攻擊，該活動展示了低成本工具和基礎設施如何實現大規模高影響力的金融欺詐。