2024 márciusában a kiberbiztonsági világ figyelmét egy új és különösen veszélyes Android-ot célzó kártevő hívta fel magára: a Qwizzserial nevű malware-család. A kártevőt a nemzetközi hírű Group-IB biztonsági kutatói fedezték fel, akik szerint a fertőzések többsége Üzbegisztán területén történt. A Qwizzserial célja kifejezetten a kétfaktoros SMS-alapú hitelesítési kódok elfogása, illetve a banki adatok és személyes információk megszerzése, amely komoly veszélyt jelent a felhasználók pénzügyi és digitális biztonságára.
Terjesztési módszerek
A Qwizzserial sikerének kulcsa social engineering-en és kifinomult technikai kivitelezésen alapul. A malware leggyakrabban Telegram csatornákon keresztül terjed, ahol a támadók hivatalos szervezeteknek álcázzák magukat, például „Moliyaviy Yordam” (Pénzügyi Segítség) néven.
A felhasználók olyan üzeneteket kapnak, mint például:
- „Ezek a te fotóid?”
- „Elnöki rendelet alapján támogatás jár önnek.”
Az ilyen típusú üzenetek kíváncsiságot vagy a sürgősség érzetét váltják ki, így növelve a rosszindulatú APK fájlok letöltésének esélyét. A támadók gyakran hamis elnöki rendeleteket is közzétesznek, hogy növeljék hitelességüket.
Működési mechanizmus
A Qwizzserial jellemzően Kotlin nyelven íródott és az alábbi funkciókat hajtja végre a fertőzött készüléken:
- Jogosultságkérés: A telepítés után a kártevő ismételten kéri a hívás- és SMS-hozzáférési engedélyeket.
- Adatlopás:
- Bankkártyaadatok
- Telefonszámok
- Bejövő és kimenő SMS-ek
- Adatexfiltráció: Az ellopott adatokat Telegram botokon vagy olyan szervereken keresztül küldi el, mint pl. hxxp://llkjllj[.]top.
- Tartósság: Egyes változatok arra is képesek, hogy megakadályozzák az akkumulátorkímélő mód bekapcsolását, így a háttérben zavartalanul futhatnak.
- Obfuszkáció: Az újabb variánsok az NP Manager és Allatori Demo eszközöket használják, hogy elrejtsék a valódi működésüket.
Fertőzési statisztikák és hatások
A Qwizzserial által okozott kár mértéke jelentős:
- Fertőzött eszközök száma: kb. 100.000
- Minták száma: kb. 1.200
- Bevétel: egyetlen csoport 2025 márciusa és júniusa között kb. 62 000 USD nyereséget szerzett
- Pareto-eloszlás: a minták 25%-a felelős az összes fertőzés 80%-áért – ezek gyakran banki appoknak álcázott verziók
A malware prioritással figyeli a nagyobb összegű banki tranzakciókat is – különösen azokat, amelyek meghaladják az 500.000 üzbég szumot (körülbelül 38-39 USD-t).
Miért különösen sebezhető Üzbegisztán?
Az üzbég bankszektor még mindig jelentős mértékben támaszkodik az SMS-alapú kétfaktoros hitelesítésre, amit a Qwizzserial célzottan ki is használ. A malware képes valós időben elfogni a bejövő SMS-eket (pl. ellenőrző kódokat, tranzakciós értesítéseket), így megkerülve a biztonsági rendszereket.
Védekezési lehetőségek és észlelés
A Group-IB a malware felismerésére és blokkolására új szabályokat fejlesztett ki Fraud Protection rendszerében. Ezek viselkedésalapú szabályokon nyugszanak, így nemcsak a már ismert mintákat, hanem az újonnan felbukkanó variánsokat is képesek észlelni.
Főbb indikátorok (IOCs)
| Típus | Indikátor |
| Hálózati cím | llkjllj[.]top |
| SHA256 minták | ea6a11a6e5da7a82bbcaca86c3d35b22f241b20f6ba5ae5e48eded99e19f6aa5
8dd5f2f406ce0d11a3c75d511b69350ba1160ed780b6b4a0f3193eb087553cca |
A Qwizzserial egy rendkívül kifinomult és folyamatosan fejlődő Android kártevő, amely kiváló példája annak, hogyan használható ki a felhasználók bizalma és a technológiai sebezhetőség. Az üzbég eset jól mutatja, hogy a társadalmi manipuláció és a helyi sajátosságok (pl. SMS-hitelesítés) kombinációja mennyire pusztító lehet. A mobilfelhasználók és intézmények számára elengedhetetlen, hogy naprakész védelmi rendszereket alkalmazzanak, és fokozott figyelemmel kezeljék a nem hivatalos forrásból származó alkalmazásokat.