一场高度复杂的安卓恶意软件攻击活动正在中亚地区迅速蔓延，其核心目标是窃取银行凭证和双因素身份验证（2FA）验证码，其中乌兹别克斯坦受影响尤为严重。

这款被命名为 Qwizzserial 的恶意软件，标志着移动银行欺诈手法的又一次进化。它专门利用该地区普遍依赖短信进行金融验证的弱点，展开精准打击。

冒充官方App诱导安装

Qwizzserial 最早于 2024 年中被发现，初期活动较为低调，但很快在后续几个月中出现爆发式传播。该恶意软件伪装成诸如“总统援助”、“财政补贴”乃至本地银行App等正规应用，诱导用户下载安装。

Group-IB 在追踪安卓相关威胁时识别出这一恶意软件，并指出其背后的分发网络高度类似于臭名昭著的 Classiscam 欺诈基础设施，具备明显的组织化运作痕迹。

目前，已有约 10 万台设备被感染，三个月内造成的财产损失已超过 6.2 万美元。

该恶意软件的主要传播渠道是 Telegram，攻击者往往在平台上伪装成官方机构发布“财政资助”信息，构建可信度极高的钓鱼频道进行引流与欺骗。

工业化诈骗组织构架

该行动的规模和复杂程度表明，这是一个组织良好的犯罪企业，其角色明确，包括管理员、工作人员、恶意软件开发人员和专门的“vbivers”，他们验证被盗卡的详细信息以进行欺诈性提款。这种结构化方法使整个目标区域的感染范围迅速扩大，新的恶意软件样本以越来越频繁的速度出现。

技术分析：持续窃密与伪装增强

Qwizzserial 的感染机制设计精巧，目标是实现数据最大化收集与持久驻留。

android.permission.READ_PHONE_STATE
android.permission.CALL_PHONE  
android.permission.RECEIVE_SMS
android.permission.READ_SMS

其数据收集能力远不止于用户手动输入：

new Regex("\\b(Balance|Balans|Summu|Summa|Summ|Dostupno|Izmenen|Vklad|Amount|Availab")

从而对用户财务状况进行有针对性的情报采集。

持久化与逃避检测能力显著增强

最近的变体已经发展到包括使用 NP Manager 和 Allatori Demo 的混淆技术，同时实施了改进的持久性机制来禁用电池优化限制。

该恶意软件现在利用 HTTP POST 请求来限制服务器，而不是直接的 Telegram API 通信，这表明其运营安全措施的持续发展和改进。