文章总结： 本文剖析安卓木马Wonderland的SaaS化犯罪趋势。该木马利用Dropper伪装合法应用并在本地离线释放Payload，通过双向C2滥用TelegramAPI实现隐蔽控制。黑产采用动态域名轮换与自动化构建流水线降低作恶门槛。建议防御方侧重动态行为分析与加密流量审计，严控未知来源安装权限，以应对黑产技术迭代。 综合评分： 88 文章分类： 恶意软件,移动安全,威胁情报,逆向分析,安全运营

黑产也搞 SaaS？深挖安卓木马 Wonderland 的自动化构建与分发流水线

原创

Kit Chung

安全圈动向

2025年12月26日 07:40 广东

大家好

在 IT 圈摸爬滚打这么多年，我们总有一种错觉：只要不乱点链接，不瞎下 App，手机就是安全的。但最近 Group-IB 发布的一份关于安卓恶意软件 Wonderland（原名 WretchedCat） 的深度分析报告，着实让我背脊发凉。

为什么？因为黑客们的“内卷”程度简直超乎想象。以前的木马是单兵作战，现在的黑客玩起了“套娃”战术（Droppers）、本地离线部署，甚至搞起了SaaS 化流水线。今天，我们就扒一扒这些“骚操作”背后的底层逻辑。

01 “披着羊皮的狼”：Dropper 技术的极致进化

以前我们防病毒，防的是那个“恶意 APK”。但 Wonderland 的开发者 TrickyWonders 团队搞了一套新玩法：他们分发的是看似完全合法的“白文件”。

这东西在安全行业里叫 Dropper（释放器/滴管）。传统的 Dropper 通常在安装后，联网下载恶意 Payload。但在流量监控设备面前，这种方式很容易“露馅”。

Wonderland 的 Dropper（主要变种为 MidnightDat 和 RoundRift）不仅伪装成 Google Play 服务、照片、婚礼请柬等合法应用，更可怕的是，它把恶意的 Payload 加密后直接内嵌在安装包里！

核心技术点：本地 Payload 部署

1. 伪装潜入：

   用户安装 Dropper，表面一切正常，甚至通过了静态扫描。

2. 断网执行：

   即使用户处于断网状态，Dropper 依然可以在本地解密并释放恶意的 SMS Stealer。

3. 诱导提权：

   利用系统机制弹出伪造的“系统更新”提示，诱导用户开启“允许安装未知来源应用”权限。

4. 鸠占鹊巢：

   权限到手，恶意 Payload 正式上位。

这种“自带干粮”的离线部署方式，直接绕过了很多依赖网络流量特征的防御机制。这招“暗度陈仓”，玩得确实溜。

02 从“窃听器”到“遥控器”：双向 C2 通信

如果只是偷短信，那它也就是个低级木马。但 Wonderland 引入了 双向 C2 通信，这让它从一个被动的窃听器，变成了一个主动的远程控制代理（RAT）。这里的技术细节值得玩味：

• 🔵 通信协议的隐蔽性

  它并不完全依赖传统的 HTTP/HTTPS 回连，而是大量滥用 Telegram API。黑客利用 Telegram 作为 C2 平台，指令混杂在正常的加密聊天流量中，极难被防火墙阻断。

• 🔵 实时指令执行

  它不仅仅是拦截短信验证码（OTP），还能执行任意的 USSD 请求（比如查询余额、呼叫转移等）。

• 🔵 横向移动与账号劫持

  它会劫持受害者的 Telegram 会话。一旦你安装了恶意 APK，它会尝试登录你的 Telegram 账号。成功后，你的账号就变成了黑客分发恶意软件的“肉鸡”，向通讯录好友发送带毒链接。

03 黑产的“微服务”架构：动态域名与自动化构建

作为搞 IT 的，看到 Wonderland 的后端架构，我心情很复杂——这帮黑客的架构能力，甚至比很多正规初创公司还要强。

1. 动态域名轮换（Domain Fluxing）： 这也是我们运维最头疼的。他们不会长期使用同一个 C2 域名。每个构建版本（Build）只使用有限的一组域名，用完即弃。这直接废掉了基于黑名单的防御策略。

2. Telegram Bot 自动化构建（MaaS）： 这已经不是几个黑客在小黑屋里写代码了，这是一条成熟的产业链：

Workers（打工人）：

负责分发，通过 Telegram Bot 生成自己专属的恶意 APK。

隔离机制：每个 APK 绑定独立 C2 域名。即使安全公司端掉一个域名，也只影响一个 Worker 的业绩，整个黑产网络毫发无损。

此外，他们还有专门的 Vbivers 角色负责验证盗取的信用卡信息。开发、分发、变现，分工明确，层级森严。

04 警惕：恶意软件的“SaaS 化”趋势

除了 Wonderland，最近曝光的 Cellik 和 Frogblight 也在印证同一个趋势：恶意软件即服务（Malware-as-a-Service）。

以 Cellik 为例，它提供了一个“一键 APK 构建器”。只要 150 美元一个月，买家可以在控制面板里浏览 Google Play 商店，随便选一个合法的热门 App，点一下鼠标，恶意代码就会注入进去。这简直是傻瓜式操作，大大降低了作恶门槛。

写在最后

看完这些技术细节，作为一名技术人员，我有几点深刻的感触：

1. 静态分析的局限：面对本地解密 Payload 和高强度混淆，单纯的反编译越来越难，我们需要更多地依赖动态行为分析。

2. 流量审计的盲区：当 C2 流量伪装成 Telegram、GitHub 等合法流量时，如何在加密流量中识别异常行为，是当前的一大挑战。

3. 权限管理的底线：无论安卓系统怎么升级，“未知来源安装”和“无障碍服务”依然是最后一道防线。

技术在进步，黑客也在进化。作为技术人，我们不仅要修好自己的系统，也要时刻关注这些“暗处”的技术迭代，才能在攻防对抗中不落下风。

今日互动

你在日常工作中，遇到过最难缠的恶意软件行为是什么？ 欢迎在评论区聊聊，我们一起拆解拆解。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈动向 Kit Chung《黑产也搞 SaaS？深挖安卓木马 Wonderland 的自动化构建与分发流水线》