Qwizzserial: в Узбекистане зафиксирована масштабная кампания Android-мошенничества

В Узбекистане зафиксирована новая волна кибератак, нацеленных на пользователей Android-устройств. Центром угрозы стал вредоносный софт под названием Qwizzserial — мобильный троян, специализирующийся на краже одноразовых кодов из СМС-сообщений и данных финансовых приложений. Технически продвинутый и целенаправленный, этот зловред демонстрирует высокий уровень автоматизации и адаптацию под локальный рынок.

По данным специалистов в области кибербезопасности, Qwizzserial функционирует не как отдельный фрагмент вредоносного кода, а как комплексная мошенническая экосистема. Распространение осуществляется через поддельные APK-файлы — зачастую под предлогами вроде «Это ваши фото?» или «Президентская помощь». Рассылка ведётся преимущественно через Telegram-каналы, стилизованные под официальные страницы государственных учреждений.

После установки и предоставления необходимых разрешений — доступ к СМС, журналу вызовов и списку контактов — вредонос получает полный контроль над чувствительными данными пользователя. В его функциональности:

• Перехват и анализ входящих СМС, включая коды двухфакторной аутентификации;
• Сбор информации о сим-карте, установленном ПО, сетевом окружении и устройствах;
• Определение наличия банковских и платёжных приложений;
• Передача всех данных в Telegram-чаты, управляемые злоумышленниками.

Поздние версии Qwizzserial используют обфускацию кода (в том числе через инструменты NP Manager и Allatori), а также скрытую активность в фоне — вредонос продолжает функционировать даже при активном режиме энергосбережения. Отдельное внимание заслуживает маскировка под безобидные видеоплееры, что затрудняет выявление угрозы со стороны обычных пользователей.

По сообщениям из внутренних телеграм-чатов злоумышленников, с марта по июнь 2025 года только одна из преступных групп, работающих с Qwizzserial, заразила около 100 000 устройств, распространив более 1 200 уникальных вариантов вредоносного ПО. Совокупный ущерб по их собственным оценкам превысил \$62 000. Примерно 25% всех вредоносных сборок обеспечили 80% заражений, что соответствует принципу Парето и говорит о высокоэффективной диффузии «успешных» версий зловреда.

Особенность локального контекста — высокая зависимость от СМС-кодов в системе идентификации: банковские транзакции, государственные сервисы, мобильные платежи — всё завязано на текстовые сообщения. Это делает пользователей особенно уязвимыми к атакам, основанным на перехвате СМС.

Эксперты рекомендуют соблюдать цифровую гигиену:

• Никогда не устанавливать APK-файлы из мессенджеров и неизвестных источников;
• Не предоставлять приложению доступ к СМС и вызовам без необходимости;
• Использовать антивирусное ПО и активировать встроенные механизмы защиты от установки стороннего софта.

Случай с Qwizzserial демонстрирует, как классические схемы мошенничества — аналогичные модели Classiscam — адаптируются к мобильным устройствам, снижая затраты и одновременно повышая масштаб ущерба. В условиях цифровой трансформации и растущей популярности мобильных платежей, киберугрозы становятся всё более изощрёнными, нацеленными и локализованными.