Investigadores de F6 han documentado una versión sustancialmente reforzada de DeliveryRAT, un troyano para Android que se hace pasar por apps de reparto, marketplaces, banca, rastreadores de paquetes e incluso servicios estatales. La variante observada en la segunda mitad de 2025 amplía su alcance más allá del robo de datos, incorporando ataques DDoS desde el propio dispositivo, interfaces de phishing dinámicas renderizadas en el equipo comprometido y campañas de SMS masivos dirigidas a contactos exfiltrados.
DeliveryRAT: nuevas capacidades que lo convierten en botnet móvil
Módulo DDoS con control remoto
El malware recibe desde el servidor de mando y control (C2) una URL objetivo y parámetros de carga para iniciar el DDoS desde el terminal infectado. Tras cada operación envía un informe con solicitudes exitosas y fallidas, lo que habilita a los operadores a orquestar un botnet de móviles de forma granular. Aunque los DDoS suelen apoyarse en IoT y servidores, el uso de smartphones añade diversidad de orígenes y dificulta su filtrado en capa de aplicación, un vector cuya importancia va en aumento según informes públicos de la industria (por ejemplo, Cloudflare Radar 2024).
Phishing en pantalla con actividades dinámicas
Los atacantes pueden activar en el dispositivo uno de cinco tipos de actividades: Card (captura de datos de tarjeta), Custom (campos arbitrarios), Photo (subida de imágenes), QR (presentación/lectura de códigos) y Text (mensajes). Estas vistas se integran visualmente con la app impostora, elevando la tasa de éxito del fraude. El modo QR incluye campos configurables (p. ej., “número de seguimiento”) y una animación de “carga” tras confirmar, diseñada para reforzar la credibilidad en cadenas de ingeniería social.
SMS masivos apoyados en la libreta de contactos
DeliveryRAT exfiltra la agenda y, bajo instrucción del C2, envía SMS a los contactos únicos. Este patrón, ya explotado por familias como FluBot, ha demostrado gran eficacia gracias a la confianza en el remitente y al formato de smishing. La interrupción de FluBot en 2022 por Europol subrayó el impacto global de estas campañas y su elevada capacidad de propagación por SMS (fuente: Europol, “FluBot Android malware successfully disrupted”).
Capacidades heredadas que refuerzan el control del atacante
La nueva rama conserva funciones críticas: intercepta SMS y notificaciones push (y puede ocultarlas), ejecuta códigos USSD, envía SMS en nombre del usuario y permite ocultar/mostrar el icono de la app. Este conjunto reduce la visibilidad para la víctima y erosiona la seguridad de los códigos de un solo uso por SMS, una práctica que estándares como NIST SP 800‑63B consideran más débil frente a vectores en el canal telefónico.
Cadena de infección y técnicas de encubrimiento
Se han detectado paquetes que suplantan a Delivery Club, Ozon, Sberbank Online, rastreadores postales, plataformas de oficios y viajes compartidos, portales de anuncios, compra de billetes, clones de apps gubernamentales y un mensajero “Oniongram” modificado. En varios casos se utilizó un loader (com.harry.loader) que mostraba una falsa pantalla de “actualización” para instalar DeliveryRAT desde recursos internos, una táctica eficaz para el sideloading sigiloso.
Infraestructura C2 y persistencia
El canal de mando utiliza WebSocket para comunicación bidireccional en tiempo real, facilitando la orquestación de phishing sin actualizar el APK. La exfiltración de datos se realiza por HTTP. La persistencia se asegura con un receptor de arranque (BootReceiver) y tareas periódicas que revalidan la conexión con el C2. Este perfil TTP es habitual en troyanos bancarios móviles, pero su combinación con un módulo DDoS es poco frecuente y amplía los modelos de monetización.
Riesgos para organizaciones: de los “overlays” a la monetización híbrida
El ecosistema criminal móvil transita de simples superposiciones a estrategias híbridas que mezclan fraude financiero, alquiler de botnets y campañas de smishing. Tendencias observadas con FluBot y TeaBot demuestran que los SMS en cascada y las interfaces falsificadas sostienen altas tasas de conversión, mientras que WebSocket complica el análisis conductual y prolonga la vida de campaña.
Medidas de mitigación recomendadas
Fuentes de apps: evitar APK de terceros; verificar editor y volumen de instalaciones. Permisos: revisar “SMS”, “Mostrar sobre otras apps” y “Accesibilidad”. Autenticación: preferir llaves FIDO/OTP fuera de banda frente a SMS cuando sea posible (ver NIST SP 800‑63B). Protección: activar Google Play Protect/EDR móvil; aplicar políticas MDM para BYOD/COPE y bloquear sideloading. Red: filtrar dominios desconocidos, limitar WebSocket no autorizados y usar DNS filtrado. Concienciación: formar sobre pantallas de actualización falsas y superposiciones de phishing.
DeliveryRAT confirma una tendencia: los troyanos móviles evolucionan hacia plataformas multifunción capaces de robar datos, difundir smishing y participar en DDoS. Es un momento oportuno para reforzar el gobierno de apps móviles, mejorar la visibilidad del tráfico y actualizar los planes de respuesta para contemplar botnets en Android. Mantener una higiene básica —fuentes confiables, permisos mínimos y protección activa— reduce drásticamente la probabilidad de convertirse en un nodo de un botnet o en víctima de fraude. Fuentes de referencia: Europol (FluBot, 2022), Cloudflare Radar (tendencias DDoS 2024), NIST SP 800‑63B.
