В Узбекистане зафиксирована новая волна кибератак, нацеленных на пользователей Android-устройств. Центром угрозы стал вредоносный софт под названием Qwizzserial — мобильный троян, специализирующийся на краже одноразовых кодов из СМС-сообщений и данных финансовых приложений. Технически продвинутый и целенаправленный, этот зловред демонстрирует высокий уровень автоматизации и адаптацию под локальный рынок.
По данным специалистов в области кибербезопасности, Qwizzserial функционирует не как отдельный фрагмент вредоносного кода, а как комплексная мошенническая экосистема. Распространение осуществляется через поддельные APK-файлы — зачастую под предлогами вроде «Это ваши фото?» или «Президентская помощь». Рассылка ведётся преимущественно через Telegram-каналы, стилизованные под официальные страницы государственных учреждений.
После установки и предоставления необходимых разрешений — доступ к СМС, журналу вызовов и списку контактов — вредонос получает полный контроль над чувствительными данными пользователя. В его функциональности:
- Перехват и анализ входящих СМС, включая коды двухфакторной аутентификации;
- Сбор информации о сим-карте, установленном ПО, сетевом окружении и устройствах;
- Определение наличия банковских и платёжных приложений;
- Передача всех данных в Telegram-чаты, управляемые злоумышленниками.
Поздние версии Qwizzserial используют обфускацию кода (в том числе через инструменты NP Manager и Allatori), а также скрытую активность в фоне — вредонос продолжает функционировать даже при активном режиме энергосбережения. Отдельное внимание заслуживает маскировка под безобидные видеоплееры, что затрудняет выявление угрозы со стороны обычных пользователей.
По сообщениям из внутренних телеграм-чатов злоумышленников, с марта по июнь 2025 года только одна из преступных групп, работающих с Qwizzserial, заразила около 100 000 устройств, распространив более 1 200 уникальных вариантов вредоносного ПО. Совокупный ущерб по их собственным оценкам превысил \$62 000. Примерно 25% всех вредоносных сборок обеспечили 80% заражений, что соответствует принципу Парето и говорит о высокоэффективной диффузии «успешных» версий зловреда.
Особенность локального контекста — высокая зависимость от СМС-кодов в системе идентификации: банковские транзакции, государственные сервисы, мобильные платежи — всё завязано на текстовые сообщения. Это делает пользователей особенно уязвимыми к атакам, основанным на перехвате СМС.
Эксперты рекомендуют соблюдать цифровую гигиену:
- Никогда не устанавливать APK-файлы из мессенджеров и неизвестных источников;
- Не предоставлять приложению доступ к СМС и вызовам без необходимости;
- Использовать антивирусное ПО и активировать встроенные механизмы защиты от установки стороннего софта.
Случай с Qwizzserial демонстрирует, как классические схемы мошенничества — аналогичные модели Classiscam — адаптируются к мобильным устройствам, снижая затраты и одновременно повышая масштаб ущерба. В условиях цифровой трансформации и растущей популярности мобильных платежей, киберугрозы становятся всё более изощрёнными, нацеленными и локализованными.
