Исследователи F6 сообщили о существенном обновлении Android-трояна DeliveryRAT, который маскируется под приложения служб доставки, маркетплейсов, банков, сервисов трекинга посылок и даже госуслуг. Версия, замеченная во второй половине 2025 года, выходит за рамки стилера: помимо кражи данных она выполняет DDoS-атаки, запускает управляемые фишинговые активности на устройстве жертвы и рассылает массовые SMS по контакт-листам.
Ключевые нововведения DeliveryRAT
DDoS-модуль: превращение в мобильный ботнет
Вредоносная программа получает от C2-сервера целевой URL и параметры нагрузки, после чего инициирует атаку с зараженного устройства. По завершении компонент отправляет отчет с количеством успешных и неуспешных запросов. Функция фактически превращает DeliveryRAT из классического стилера в часть распределенного ботнета, что расширяет спектр злоупотреблений — от вымогательства до срывов сервисов конкурентов.
Динамические интерфейсы для фишинга и сбора данных
Операторы удаленно запускают на экране жертвы один из пяти типов активностей: Card (форма банковской карты), Custom (произвольные поля), Photo (загрузка снимков), QR (показ QR-кода) и Text (сообщение). Эти окна стилизованы под реальное приложение и воспринимаются пользователем как легитимные. Модуль QR дополнен настраиваемыми полями («Введите трек номер», путь к изображению) и кнопкой подтверждения, после которой отображается анимация «загрузки» — вероятно, для усиления доверия в схемах социальной инженерии.
Массовая SMS-рассылка по контактам
Троян выгружает адресную книгу на сервер, а затем может рассылать сообщения всем уникальным контактам по команде операторов. Такой подход давно доказал эффективность в кампаниях с участием FluBot и других Android-семейств: социальная инженерия в связке с доверием к отправителю резко повышает конверсию заражения.
Сохранившиеся функции из предыдущей ветки
DeliveryRAT по-прежнему перехватывает SMS и push-уведомления с их последующим скрытием, инициирует произвольные USSD-запросы, отправляет SMS от имени пользователя и умеет прятать/показывать иконку. Это создает устойчивый канал контроля и позволяет незаметно обходить проверки пользователем входящих уведомлений безопасности.
Методы распространения и маскировки
Обнаружены образцы, имитирующие Delivery Club, Ozon, Сбербанк Онлайн, почтовые трекеры, сервисы поиска специалистов и попутчиков, площадки объявлений, билеты, а также клоны госприложений и модифицированный мессенджер «Oniongram». В ряде случаев применялся загрузчик com.harry.loader, который показывал фейковое «обновление» и ставил DeliveryRAT из встроенных ресурсов — типичный прием для обхода внимательности пользователя и систем защиты.
Командный канал и персистентность
Для управления в реальном времени используется WebSocket-соединение, что упрощает двунаправленную коммуникацию и доставку команд. Экcфильтрация данных реализована через HTTP. Закрепление в системе обеспечивается обработчиком события загрузки (BootReceiver) и периодическими задачами, поддерживающими связь с инфраструктурой C2. Такой стек TTP характерен для современных Android-банкинг троянов (например, семейств с оверлеями), однако сочетание с DDoS-модулем встречается существенно реже.
Контекст угроз: от оверлеев к ботнетам
Рынок мобильного киберкрайма эволюционирует от простых «оверлеев» к комбинированным сценариям монетизации, где кража финансовых данных совмещается с арендой ботнета под DDoS. История кампаний FluBot/TeaBot показала эффективность SMS-цепочек и подмены интерфейсов, а внедрение WebSocket облегчает операторам DeliveryRAT масштабирование и управление фишинговыми активностями без обновления APK. На практике это усложняет детектирование поведенческими движками и повышает «время жизни» кампаний.
Практические меры защиты для пользователей и организаций
Сторонние источники APK: избегайте установки приложений вне доверенных магазинов; проверяйте разработчика и количество установок. Разрешения: обращайте внимание на запросы SMS, «Поверх других окон», «Доступность» (Accessibility). Аутентификация: используйте аппаратные ключи/OTP вместо одноразовых кодов по SMS, где возможно. Антивирус и MDM: включите Google Play Protect/EDR, применяйте MDM-политику на BYOD/COPE, блокируйте sideloading. Сетевые меры: фильтруйте неизвестные домены, ограничивайте нежелательные WebSocket-соединения, используйте DNS-фильтрацию. Обучение: информируйте сотрудников о фишинговых оверлеях и фейковых экранах «обновления».
DeliveryRAT демонстрирует устойчивую тенденцию: мобильные трояны быстро расширяют арсенал — от кражи данных до участия в DDoS-атаках и масштабной социальной инженерии. Организациям стоит пересмотреть контроль установки приложений, усилить мониторинг мобильного трафика и обновить планы реагирования для учета мобильных ботнетов. Пользователям рекомендуется проверять источники приложений, внимательно относиться к всплывающим формам и незамедлительно удалять подозрительные программы. Чем раньше будет налажен базовый гигиенический уровень мобильной безопасности, тем ниже вероятность стать узлом чужого ботнета или жертвой фишинга.
