Специалисты F6 совместно с RuStore пресекли одну из наиболее активных кампаний кибермошенников, ориентированных на пользователей Android: заблокированы 604 домена, входившие в инфраструктуру распространения трояна DeliveryRAT. Вредонос маскировался под сервисы доставки еды, маркетплейсы, банковские приложения и трекинг посылок, используя масштабные приемы социальной инженерии.
Android-троян DeliveryRAT: цели и возможности
По данным F6, DeliveryRAT был выявлен летом 2024 года. Основная задача малвари — хищение конфиденциальных данных, пригодных для оформления займов в микрофинансовых организациях, а также попытки кражи средств через онлайн-банкинг. Злоумышленники собирали персональные сведения жертв, включая ФИО и адрес доставки, а в ряде сценариев — СНИЛС, номер банковской карты, номер телефона и дату рождения. Такой массив данных повышает успешность как кредитного фрода, так и последующей монетизации аккаунтов.
MaaS через Telegram: бот Bonvi Team и масштабирование атак
Исследователи зафиксировали распространение DeliveryRAT по модели Malware-as-a-Service через Telegram-бот Bonvi Team. Преступники бесплатно получали собранный образец трояна и затем самостоятельно обеспечивали доставку на устройство жертвы. Владелец бот-платформы предлагал два пути: выгрузка APK или персонализированная ссылка на поддельный сайт, генерируемая для каждого «воркера». Высокая степень автоматизации и отсутствие порога технической компетенции объясняют широкую географию атак; известно как минимум о трех группировках, привлекавших трафик на вредоносные ресурсы.
Социальная инженерия: как заражали устройства
Фейковые продажи и «трек» заказа
Одним из доминирующих сценариев были объявления о продаже товаров по заниженным ценам на маркетплейсах или в фальшивых магазинах. Контакт переводился в мессенджер (Telegram/WhatsApp), где «менеджер» собирал персональные данные жертвы и предлагал установить «приложение для отслеживания заказа», которое фактически было DeliveryRAT.
Поддельные вакансии и «служебные» приложения
Второй сценарий — вакансии с высоким доходом и гибкими условиями. В переписке у жертвы запрашивали СНИЛС, номер карты и дату рождения, после чего настойчиво рекомендовали установить «рабочее приложение». Так злоумышленники легитимизировали установку вредоноса и ускоряли сбор критичных атрибутов личности.
Рекламные посты с промокодами
Дополнительно фиксировалась реклама в Telegram с предложением скачать приложения скидок и промокодов. Эта схема эксплуатирует мотивацию на быструю выгоду, снижая бдительность и маскируя DeliveryRAT под «полезный» сервис.
Инфраструктура и доменные шаблоны злоумышленников
F6 и RuStore идентифицировали и заблокировали 604 домена, задействованные в кампании. Доменные имена часто имитировали легитимные сервисы, комбинируя ключевые слова вроде store, id, download, app и другие. Такие паттерны помогают быстро штамповать новые сайты и обходить точечные блокировки. Своевременное пресечение инфраструктуры критично сокращает «время жизни» фишинговых страниц и тормозит воронку заражения.
Оценка рисков и практические меры защиты
Кампания DeliveryRAT подтверждает тренд: мобильные угрозы активно смещаются в сторону MaaS-платформ и мессенджеров, где проще масштабировать социальную инженерию и персонализированные ссылки. Чтобы снизить риск компрометации, рекомендуется устанавливать приложения только из доверенных магазинов (включая RuStore), отключить установку из неизвестных источников, проверять доменные имена на признаки подделки, держать систему и защитное ПО актуальными и внимательно относиться к запросам на привилегии. Для организаций важны обучение сотрудников, контроль мобильного парка (MDM) и мониторинг аномалий в мобильном трафике.
Оперативные действия F6 и RuStore демонстрируют эффективность координации на стороне защитников: блокировка доменной инфраструктуры нарушает цепочку доставки малвари и снижает финансовый ущерб. Пользователям стоит укрепить базовую гигиену кибербезопасности и настороженно относиться к «выгодным» предложениям, требующим установить APK или перейти по незнакомой ссылке. Чем меньше возможностей у злоумышленников закрепиться на устройстве сегодня, тем ниже вероятность кредитного и банковского фрода завтра.
