Дослідники F6 повідомили про суттєве оновлення Android-трояна DeliveryRAT, який маскується під програми служб доставки, маркетплейсів, банків і навіть клонів держсервісів. Нова версія, зафіксована у другій половині 2025 року, виходить далеко за межі класичного стилера: шкідник отримав DDoS-модуль, інструменти керованого фішингу без оновлення APK та можливість масової SMS-розсилки за контактами жертви.
Основні оновлення DeliveryRAT: що змінилося у 2025
DDoS-модуль: смартфон як вузол мобільного ботнета
Після отримання від C2 цілющого URL і параметрів навантаження троян генерує потік запитів безпосередньо з зараженого пристрою. По завершенні надсилається звіт із кількістю успішних та невдалих звернень. Функціональність фактично перетворює DeliveryRAT на частину розподіленого ботнета, який може використовуватися для вимагання або саботажу сервісів конкурентів.
Динамічні фішингові екрани та збір даних
Оператори DeliveryRAT дистанційно запускають на екрані жертви п’ять типів активностей: Card (платіжні реквізити), Custom (довільні поля), Photo (завантаження фото), QR (демонстрація QR-коду) та Text (інформаційне повідомлення). Вікна стилізовано під «рідне» застосування, що ускладнює візуальне викриття. Модуль QR підтримує параметри на кшталт «введіть трек-номер» і показує «завантаження» після підтвердження, підсилюючи довіру в сценаріях соціальної інженерії.
Масова SMS-розсилка через адресну книгу
Троян експортує контакти на сервер, а потім за командою надсилає повідомлення всім унікальним адресатам. Така тактика давно демонструє високу конверсію заражень у кампаніях на кшталт FluBot/TeaBot, адже довіра до знайомого відправника різко підвищує ймовірність відкриття посилання та інсталяції шкідливого APK.
Що зберігся з попередніх гілок DeliveryRAT
Малвар все ще перехоплює SMS і push-сповіщення із їх приховуванням, ініціює USSD-запити, відправляє SMS від імені користувача та може ховати/повертати іконку застосунку. Сукупно це забезпечує стійкий канал управління і дозволяє непомітно обходити увагу користувача та базові механізми контролю безпеки.
Методи поширення й маскування: від маркетплейсів до «держпослуг»
Виявлені зразки імітують додатки Delivery Club, Ozon, Сбербанк Онлайн, поштові трекери, сервіси пошуку спеціалістів і попутників, майданчики оголошень, квиткові платформи, а також клоновані держсервіси й модифікований мессенджер «Oniongram». У ряді випадків використано завантажувач com.harry.loader, який показує фальшиве «оновлення» і встановлює DeliveryRAT із вбудованих ресурсів — типовий спосіб обійти пильність користувачів та захист ОС.
Командний канал і персистентність: WebSocket, HTTP і BootReceiver
Для керування в реальному часі застосовується WebSocket-з’єднання — це спрощує двонапрямну комунікацію та оперативну доставку команд. Екфільтрація даних організована через HTTP. Закріплення в системі досягається за рахунок BootReceiver та періодичних задач, що підтримують зв’язок із C2. Для банківських троянів із оверлеями такий стек TTP типовий, однак поєднання з DDoS-модулем трапляється значно рідше.
Чому це важливо: еволюція від «оверлеїв» до комбінованої монетизації
Мобільний кіберкримінал рухається від простого викрадення даних до гібридних моделей, де фінансове шахрайство поєднано з орендою потужностей ботнета для DDoS. Використання WebSocket дозволяє операторам масштабувати фішингові активності без перевипуску APK, що ускладнює детектування поведінковими движками та збільшує «час життя» кампаній.
Рекомендації з безпеки для користувачів і організацій
Установки з довірених джерел: уникайте сторонніх APK, перевіряйте розробника та кількість інсталяцій; вмикайте Google Play Protect/EDR.
Контроль дозволів: звертайте увагу на SMS, «Поверх інших вікон», «Доступність» (Accessibility) — надмірні права мають викликати підозру.
Аутентифікація: де можливо, використовуйте апаратні ключі або OTP-генератори замість кодів у SMS.
MDM і політики BYOD/COPE: блокуйте sideloading, застосовуйте контроль цілісності та списки заборонених пакетів.
Мережевий захист: фільтруйте невідомі домени, обмежуйте WebSocket-з’єднання, застосовуйте DNS-фільтрацію та моніторинг аномальної активності.
Обізнаність користувачів: навчайте розпізнавати фальшиві екрани «оновлення», оверлеї та підозрілі запити «підтвердження» даних.
DeliveryRAT демонструє, як швидко мобільні загрози переходять від крадіжки даних до DDoS і масштабної соціальної інженерії. Щоб не стати вузлом чужого ботнета або жертвою фішингу, посиліть політики інсталяції застосунків, увімкніть мережевий моніторинг мобільного трафіку та регулярно перевіряйте дозволи на пристроях. Чим раніше налагоджено базову «гігієну» мобільної безпеки, тим менша ймовірність успішної атаки.
