基于Telegeram的安卓恶意软件已感染超十万用户

近年来，随着移动设备的普及，恶意软件的攻击也逐渐向手机平台倾斜。最近，网络安全公司Group-IB发布了一份报告，揭示了一个名为Qwizzserial的安卓恶意软件家族，该软件通过Telegeram机器人分发恶意APK文件，成功感染了超过十万台设备，尤其是在乌兹别克斯坦引发了广泛的金融欺诈。这个新型恶意软件的出现，不只让我们看到了现代恶意软件攻击的新趋势，也暴露了全球范围内金融系统对短信双重认证(2FA)的过度依赖所带来的安全隐患。

Qwizzserial恶意软件概述

Qwizzserial是一个针对安卓设备的恶意软件家族，利用Telegeram机器人自动生成和分发恶意APK文件，发起大规模攻击。研究人员指出，这个恶意软件通过伪装成合法的政府服务或经济援助应用，诱骗受害者下载安装，进而窃取敏感的财务数据。Qwizzserial尤其针对乌兹别克斯坦用户，利用该国对短信双重认证的广泛依赖进行精准攻击。该恶意软件通过拦截短信中的一次性密码(OTP)，成功控制了受害者的银行账户，导致严重的经济损失。

Qwizzserial的分发方式

Qwizzserial恶意软件的分发依赖于Telegeram机器人，这些机器人能够自动生成恶意APK文件，并通过创建伪装成官方政府服务的Telegeram频道将其分发给受害者。这些欺骗性APK文件以“这些是你的照片吗?”或“总统支持”等名称出现，诱骗受害者在“申请经济援助”的过程中下载恶意软件。攻击者通过这些伪装的应用程序与受害者建立信任关系，从而使其不知不觉中将恶意软件安装在设备上，最终盗取用户的敏感数据。

针对乌兹别克斯坦金融系统的攻击

Qwizzserial恶意软件的攻击活动特别针对乌兹别克斯坦用户，这一地区依然广泛依赖短信作为金融交易的主要验证方式。尽管全球范围内生物识别技术和3D Secure正在逐步普及，但在乌兹别克斯坦，很多支付系统、P2P转账和移动支付仍仅依赖短信来验证用户身份。这一安全防护体系的薄弱为恶意软件提供了可乘之机，使得攻击者能够通过拦截短信中的一次性密码(OTP)，成功访问受害者的银行账户，进行资金转移和盗窃。

Qwizzserial的功能和窃取能力

一旦成功感染目标设备，Qwizzserial恶意软件会请求设备的广泛权限。具体来说，它会要求读取短信、获取通话记录，并诱导用户输入银行卡信息等敏感数据。恶意软件通过这些方式窃取以下内容：

完整的短信历史记录

用户通讯录

已安装的金融应用

SIM卡的详细信息

设备和网络元数据

此外，Qwizzserial还会利用正则表达式扫描短信内容，特别是那些与账户余额和大额资金相关的短信信息，并将其通过Telegeram API发送到攻击者的控制平台。所有的数据都通过Telegeram机器人外传到不同的聊天室，用于进一步的金融欺诈操作。

经济影响与犯罪架构

根据Group-IB的研究报告，从2025年3月至6月，Qwizzserial恶意软件的犯罪团伙通过1200多个恶意软件变种，感染了约10万台设备。通过这些设备，攻击者获得了超过6.2万美元的非法收入。令人震惊的是，恶意软件的传播速度惊人，每日新增的样本呈现出强烈的增长趋势。通过Telegeram平台，恶意软件的传播和管理实现了自动化和高度可扩展性，从而极大地提高了攻击效率，降低了成本，使其能够快速变现。

规避技术与持续演变

Qwizzserial的开发者不断更新和演变恶意软件的功能，以规避安全检测。最新的变种开始采用NP Manager和Allatori Demo等混淆技术来隐藏恶意代码，并添加了禁用电池优化等持久化功能，使得恶意软件能够在设备上长期保持活跃状态。更重要的是，新的版本不再直接要求用户输入银行卡信息，而是通过拦截短信中的一次性密码(OTP)，在后台静默访问受害者的银行应用。这种做法有效地避免了被用户发现，从而大大提高了攻击的隐蔽性和持续性。

结语

Qwizzserial恶意软件的出现除了暴露了基于Telegeram的自动化恶意软件分发模式的威胁，也提醒了我们，过度依赖短信双重认证(2FA)的金融系统存在巨大的安全隐患。随着技术的不断发展，这种类型的攻击可能会进一步扩展，影响到更多依赖短信验证的地区和国家。为了应对这类威胁，用户和企业必须加强对移动设备的安全防护，提高防范意识，避免成为此类恶意软件的攻击目标。