F6, en coordinación con RuStore, desarticuló una de las campañas de ciberdelincuencia móvil más activas dirigidas a usuarios de Android al bloquear 604 dominios vinculados a la distribución del troyano DeliveryRAT. El malware se camuflaba como apps de entrega de comida, marketplaces, banca y seguimiento de envíos, apoyándose en tácticas de ingeniería social a gran escala para maximizar el alcance y la tasa de infección.

DeliveryRAT para Android: objetivos, datos robados y monetización

Identificado a mediados de 2024, DeliveryRAT tiene como propósito principal el robo de información confidencial con dos fines: fraude crediticio —incluida la apertura de micropréstamos— y apropiación de cuentas de banca online. Los actores reunían datos personales como nombre completo y dirección de entrega, y en muchos casos ampliaban el set con número de teléfono, fecha de nacimiento, SNILS (número de seguridad social ruso) y detalles de tarjeta bancaria. Este inventario de atributos de identidad eleva de forma significativa la probabilidad de éxito en el fraude y en la posterior monetización de cuentas.

Malware-as-a-Service en Telegram: bot Bonvi Team y escalabilidad operativa

Los investigadores documentaron la distribución de DeliveryRAT bajo un modelo Malware-as-a-Service (MaaS) a través del bot de Telegram Bonvi Team. Los operadores obtenían sin coste una compilación del troyano y se encargaban de la “entrega” a la víctima. La plataforma ofrecía dos vías: descarga directa de un APK o enlaces personalizados a sitios fraudulentos generados por “worker”. Este grado de automatización y la baja barrera técnica explican la amplitud geográfica de la campaña; al menos tres grupos distintos canalizaron tráfico hacia los recursos maliciosos.

Ingeniería social: señuelos y vectores de infección

Ofertas falsas y “seguimiento” de pedidos

Uno de los patrones dominantes consistía en anuncios con precios artificialmente bajos en marketplaces o tiendas apócrifas. Tras mover la conversación a Telegram o WhatsApp, el supuesto “gestor” recogía datos personales y pedía instalar una app de “tracking” que, en realidad, era DeliveryRAT.

Vacantes fraudulentas y aplicaciones “de trabajo”

Otro vector explotaba ofertas de empleo con remuneración elevada. En el intercambio se solicitaban SNILS, fecha de nacimiento y número de tarjeta, y se forzaba la instalación de una app “corporativa”, legitimando la presencia del troyano y acelerando la recolección de datos sensibles.

Promociones y códigos de descuento

Los atacantes también difundieron anuncios en canales de Telegram con supuestas apps de cupones y promociones, apelando a la urgencia por obtener beneficios rápidos para reducir la vigilancia del usuario.

Infraestructura y dominios: patrones de suplantación y “domain churn”

F6 y RuStore identificaron y tomaron abajo 604 dominios empleados en la campaña. Los nombres imitaban servicios legítimos combinando términos como store, id, download o app, una práctica de look‑alike y domain churn que facilita generar nuevos sitios y esquivar bloqueos puntualizados. Cortar esta infraestructura reduce de forma drástica el “tiempo de vida” de las páginas de phishing y rompe la cadena de entrega del malware.

Riesgos, contexto y defensa: qué pueden hacer usuarios y organizaciones

El caso DeliveryRAT ilustra la consolidación del ecosistema crimeware-as-a-service y el uso de mensajería cifrada para escalar campañas, una tendencia destacada por informes como Europol IOCTA 2023 y análisis del ecosistema Android. Las infecciones por fuera de tiendas oficiales muestran tasas de riesgo notablemente superiores a las descargas verificadas, lo que refuerza la importancia de la procedencia del software.

Buenas prácticas recomendadas: instalar solo desde tiendas de confianza (incluida RuStore), deshabilitar la instalación desde orígenes desconocidos, comprobar dominios y certificados antes de introducir datos, mantener el sistema y el antivirus actualizados, y revisar con escepticismo cualquier solicitud de permisos intrusivos. En empresas, combine MDM/UEM, formación continua frente a ingeniería social y monitorización de tráfico móvil para detectar anomalías tempranas.

La coordinación entre defensores demostró eficacia: neutralizar dominios y alojamientos interrumpe la logística delictiva y reduce el impacto financiero. Para los usuarios, la mejor defensa es la higiene digital básica y desconfiar de “ofertas imperdibles” que exijan instalar un APK o pulsar enlaces no verificados. Adoptar hoy estas medidas minimiza el riesgo de fraude crediticio y bancario mañana.