F6 und RuStore haben eine der aktivsten gegen Android-Nutzer gerichteten Kampagnen der vergangenen Monate ausgebremst: Insgesamt wurden 604 Domains aus der Infrastruktur zur Verbreitung des Trojaners DeliveryRAT identifiziert und deaktiviert. Die Schadsoftware tarnte sich als Essenslieferdienst, Marktplatz-, Bank- oder Pakettracking-App und nutzte dabei breit angelegte Social-Engineering-Taktiken, um Anwender zur Installation zu bewegen.
Android-Trojaner DeliveryRAT: Ziele, Funktionen und Datenabfluss
DeliveryRAT wurde im Sommer 2024 beobachtet. Das primäre Ziel: Diebstahl sensibler Identitäts- und Zahlungsdaten, um unter anderem Kredite bei Mikrofianzdienstleistern zu erschleichen und Online-Banking-Zugänge zu missbrauchen. Abgegriffen wurden personenbezogene Informationen wie Name, Lieferadresse und – in erweiterten Szenarien – SNILS (russische Sozialversicherungsnummer), Kartennummer, Telefonnummer und Geburtsdatum. Diese Datenkombination erleichtert sowohl Kreditbetrug als auch die Monetarisierung kompromittierter Konten.
Malware-as-a-Service über Telegram: Bonvi Team als Drehscheibe
Die Verteilung erfolgte laut Analyse im Malware-as-a-Service (MaaS)-Modell über den Telegram-Bot Bonvi Team. Täter erhielten ein fertig gepacktes Malware-Paket und sorgten selbst für die Zustellung an die Opfer. Dafür standen zwei Wege bereit: der direkte APK-Download oder eine für jeden „Worker“ personalisiert generierte Phishing-URL. Die hohe Automatisierung senkt die Einstiegshürde und erklärt die breite Streuung der Kampagne; mindestens drei voneinander getrennte Gruppen lenkten Traffic auf die Schadseiten.
Social Engineering in der Praxis: Wege zur Infektion
Fake-Verkaeufe und angebliche Sendungsverfolgung
Ein Kernmuster waren vermeintliche Schnäppchenangebote in Shops oder gefälschten Marktplätzen. Nach dem Wechsel in Messenger (Telegram/WhatsApp) erfragten „Mitarbeiter“ persönliche Daten und empfahlen eine „Tracking-App“ – tatsächlich DeliveryRAT.
Gefälschte Stellenanzeigen und „Dienst-Apps“
Ebenso verbreitet waren hochvergütete Jobangebote. Im Chat verlangten Täter SNILS, Kartennummer und Geburtsdatum und drängten zur Installation einer „Arbeits-App“, um die Malware als legitim erscheinen zu lassen und kritische Attribute schneller zu sammeln.
Promo-Apps und Rabattversprechen
Zusätzlich kursierten Werbe-Posts mit vermeintlichen Rabatt- und Promocode-Apps. Der kurzfristige Vorteil lenkt von Risiken ab und versteckt die Schadfunktion hinter einem „nützlichen“ Nutzenversprechen.
Infrastruktur und Domainmuster: schnelle Rotationen, bekannte Bausteine
Die von F6 und RuStore blockierten 604 Domains imitierten etablierte Dienste, häufig mit Schlüsselwörtern wie store, id, download oder app. Solche Muster vereinfachen das massenhafte Ausrollen neuer Phishing-Seiten und erschweren die Verfolgung. Das rasche Ausschalten der Domaininfrastruktur verkürzt die Lebensdauer der Täuschungsseiten und unterbricht die Kill Chain der Infektion.
Risikobild und Abwehr: was jetzt wichtig ist
Die Kampagne bestätigt einen übergreifenden Trend: Mobile Angriffe verlagern sich auf MaaS-Plattformen und Messenger, wo Social Engineering und personalisierte Links leicht skaliert werden können. Branchenberichte (u. a. ENISA Threat Landscape und Googles Android-Sicherheitsanalysen) betonen seit Jahren die Rolle menschlicher Faktoren und seitengerichteter Phishing-Taktiken bei mobilen Vorfällen.
Empfehlungen: Apps ausschließlich aus vertrauenswürdigen Stores (z. B. RuStore, Google Play) installieren, die Installation aus unbekannten Quellen deaktivieren, Domainnamen und Zertifikate sorgfältig prüfen, Betriebssystem und Sicherheitslösungen aktuell halten und Berechtigungsanforderungen kritisch bewerten. Organisationen sollten Mitarbeitende schulen, mobile Endgeräte via MDM steuern und Anomalien im mobilen Netzwerkverkehr überwachen.
Die koordinierte Aktion von F6 und RuStore zeigt, dass das Abschalten der Delivery-Infrastruktur den Schaden messbar begrenzen kann. Nutzer und Unternehmen können den Effekt verstärken, indem sie Basishygiene konsequent umsetzen, „zu gute“ Angebote hinterfragen und keine APKs oder unbekannten Links folgen. Jede vereitelte Installation heute reduziert das Risiko von Kredit- und Bankingbetrug morgen – und erschwert MaaS-Akteuren die Skalierung ihrer Angriffe.
