Forschende von F6 beobachten eine markante Weiterentwicklung des Android-Trojaners DeliveryRAT. Der Schädling tarnt sich als Apps von Lieferdiensten, Marktplätzen, Banken, Paket-Trackern und sogar staatlichen Services. Die 2025 identifizierte Version geht deutlich über klassisches Datendiebstahl-Verhalten hinaus: Sie orchestriert DDoS-Angriffe, startet gesteuerte Phishing-Workflows direkt auf dem Gerät und verschickt massiv SMS an Kontakte der Opfer.
Technische Neuerungen: DDoS, dynamische Phishing-Interfaces, SMS-Missbrauch
DDoS-Modul: vom Stealer zum mobilen Botnet
DeliveryRAT empfängt vom C2 über WebSocket Ziel-URLs und Lastparameter und feuert anschließend Anfragen vom infizierten Smartphone ab. Nach Abschluss meldet der Client Erfolgs- und Fehlerzahlen zurück. Diese Telemetrie erlaubt den Betreibern, Angriffe in Echtzeit zu skalieren. Die Funktion verwandelt DeliveryRAT in einen verteilten mobilen Bot – relevant für Erpressungsszenarien und Verfügbarkeitsangriffe auf Konkurrenzdienste. Zwar limitiert Mobilbandbreite die Einzelwirkung, doch große Botzahlen kompensieren dies in der Praxis (vgl. Beobachtungen zu IoT-/Mobile-Botnets in Akamai/Cloudflare-Reports).
Dynamische, fernsteuerbare Phishing-Oberflächen
Der Trojaner kann fünf vordefinierte Aktivitätstypen auf dem Display einblenden: Card (Kartendaten), Custom (frei definierte Felder), Photo (Bildupload), QR (QR-Anzeige) und Text (Hinweise). Die Views imitieren das Look-and-Feel legitimer Apps. Besonders das QR-Modul wirkt ausgereift: Es akzeptiert anpassbare Felder wie „Trackingnummer“, zeigt ein Bild an und quittiert Eingaben mit einer „Lade“-Animation – ein Muster, das Sozialengineering verstärkt und Misstrauen abbaut.
SMS-Massenversand über das Adressbuch
DeliveryRAT exfiltriert die Kontaktliste und versendet zielgerichtete SMS an eindeutige Einträge nach C2-Befehl. Dieser Wurm-Mechanismus hat sich bereits in Kampagnen wie FluBot als hochwirksam erwiesen, weil Empfänger Nachrichten von bekannten Nummern eher öffnen (vgl. Europol-Takedown 2022 und Analysen großer E-Mail-/SMS-Sicherheitsanbieter).
Fortbestehende Fähigkeiten und TTPs
Die Malware interzeptiert SMS und Push-Benachrichtigungen, kann diese verbergen, USSD-Befehle ausführen, SMS im Namen des Nutzers senden und die App-Ikone ein-/ausblenden. Persistenz entsteht u. a. über einen BootReceiver sowie periodische Tasks. Für die Steuerung nutzt der Akteur ein WebSocket-C2, die Exfiltration erfolgt per HTTP. Diese TTPs ähneln modernen Android-Banking-Trojanern mit Overlay- und Accessibility-Missbrauch (z. B. TeaBot), werden hier jedoch mit DDoS kombiniert – bislang selten im Mobilbereich.
Verbreitungswege und Tarnmechanismen
F6 fand Varianten, die Delivery Club, Ozon, Sberbank Online, Pakettracker, Dienstleister- und Mitfahr-Apps, Kleinanzeigen, Ticketdienste, Regierungs-Apps sowie einen modifizierten Messenger „Oniongram“ imitieren. Teilweise kam ein Loader com.harry.loader zum Einsatz, der ein scheinbares „Update“ anzeigt und DeliveryRAT aus eingebetteten Ressourcen installiert – ein gängiger Trick, um Sideloading zu verschleiern und Schutzmechanismen zu umgehen.
Risikoanalyse: Vom Overlay zum Mehrzweck-Botnet
Der Markt für mobile Cyberkriminalität entwickelt sich von isolierten Overlay-Diebstählen zu kombinierten Monetarisierungsmodellen: Datendiebstahl plus Botnet-Vermietung für DDoS. Echtzeitsteuerung via WebSocket reduziert Polling und erhöht die Langlebigkeit von Kampagnen. Erfahrungen aus FluBot-/TeaBot-Wellen zeigen, dass SMS-Ketten und gut getarnte Interfaces die Infektionsrate signifikant steigern, besonders im BYOD-Umfeld ohne strenge MDM-Kontrollen.
Empfehlungen für Nutzer und Unternehmen
App-Quelle: Nur aus vertrauenswürdigen Stores installieren; Entwickler, Bewertungen und Installationszahlen prüfen. Rechtehygiene: Vorsicht bei SMS, „Über anderen Apps einblenden“ und Accessibility. Starke Authentisierung: Wenn möglich Hardware-Keys oder App-basierte OTP statt SMS-TAN. Endpoint-/MDM-Kontrollen: Google Play Protect/EDR aktivieren, Sideloading blockieren, auf COPE/BYOD klare Policies anwenden (u. a. SMS-Sendeberechtigungen einschränken, Overlay-Erkennung). Netzwerk: DNS-Filter, Egress-Policies, Alarmierung auf ungewöhnliche WebSocket-Ziele und volumetrische HTTP-Bursts. Awareness: Mitarbeitende zu Fake-Updates, QR- und Lieferbenachrichtigungs-Betrug schulen.
Organisationen sollten Installationskontrollen nachschärfen, Mobil-Telemetrie in Monitoring und Response integrieren und Playbooks um das Szenario „mobiles Botnet/DDoS“ erweitern. Privatanwender reduzieren ihr Risiko durch konsequentes Meiden von APK-Sideloading, das Prüfen unerwarteter Eingabeformulare und die sofortige Deinstallation verdächtiger Apps. Je früher ein grundlegendes Sicherheitsniveau etabliert ist, desto geringer ist die Chance, Teil eines Botnets zu werden oder in Phishing-Fallen zu tappen.
