Оборонці кіберпростору завдали відчутного удару по злочинній інфраструктурі: фахівці F6 спільно з RuStore заблокували 604 домени, які використовувалися для розповсюдження Android-трояна DeliveryRAT. Зловмисники маскували шкідливі APK під застосунки служб доставки, маркетплейсів, банків та сервіси відстеження посилок, покладаючись на масштабну соціальну інженерію.
Android-троян DeliveryRAT: призначення та функціональність
За даними F6, DeliveryRAT був виявлений улітку 2024 року та орієнтований на викрадення чутливих даних для подальшого використання в кредитному фроді (оформлення позик у МФО) і спробах доступу до онлайн-банкінгу. Шкідник збирав ПІБ, адресу доставки, а в окремих сценаріях — СНИЛС, номер банківської картки, телефон і дату народження. Такий набір атрибутів значно підвищує результативність подальшої монетизації облікових записів.
MaaS через Telegram: бот Bonvi Team і масштабування атак
DeliveryRAT поширювався за моделлю Malware-as-a-Service через Telegram-бот Bonvi Team. «Воркери» отримували готовий зразок або APK-файл, або персоналізоване фішингове посилання на підроблений сайт. Автоматизація, нульовий вхідний поріг та розподіл трафіку між кількома групами пояснюють широку географію інфікувань. Галузеві звіти (зокрема Google TAG, ESET) вже фіксують зростання MaaS-екосистем та використання месенджерів як каналів дистрибуції.
Соціальна інженерія: основні сценарії зараження
Фейкові розпродажі та «трекінг» замовлення
Жертв приваблювали заниженими цінами у фальшивих магазинах чи оголошеннях. Далі спілкування переводилось у Telegram або WhatsApp, де «менеджер» збирав персональні дані і пропонував інсталювати «додаток для відстеження» — фактично DeliveryRAT.
Підроблені вакансії та «службові» застосунки
Ще один вектор — вакансії з привабливою оплатою. У листуванні запитували СНИЛС, номер карти та дату народження, після чого наполягали на встановленні «робочого застосунку», що слугувало каналом доставки шкідника і пришвидшувало збір критичних ідентифікаційних даних.
Рекламні пости з промокодами
Поширювалися також «застосунки знижок» і промокоди в Telegram-каналах. Мотивація швидкої вигоди знижувала пильність, а DeliveryRAT маскувався під корисний сервіс.
Домени й інфраструктура: як будували фішингові сайти
Команди F6 та RuStore ідентифікували та заблокували 604 домени, задіяні у кампанії. Імена часто містили тригери на кшталт store, id, download, app, що полегшувало масове створення схожих сайтів і обходження точкових блокувань. Оперативний демонтаж інфраструктури суттєво скорочує «життєвий цикл» фішингових сторінок та ламає ланцюг доставки малварі.
Оцінка ризиків і практичні поради з безпеки Android
Кампанія DeliveryRAT підкреслює тренд на MaaS-платформи та експлуатацію месенджерів для соціальної інженерії й персоналізованих лінків. Для зниження ризику:
— Встановлюйте застосунки лише з довірених магазинів (зокрема RuStore, Google Play) і відключіть інсталяцію з невідомих джерел у налаштуваннях Android.
— Перевіряйте домени на ознаки підробки, уважно читайте дозволи застосунків; уникайте переходів за лінками з приватних чатів.
— Тримайте ОС та захисне ПЗ в актуальному стані; активуйте Google Play Protect або корпоративні засоби захисту.
— Для організацій: навчайте співробітників протидії фішингу, впроваджуйте MDM/EMM, відстежуйте аномалії мобільного трафіку і блокуйте sideloading політиками.
Координація між F6 і RuStore продемонструвала ефективність проактивних дій: блокування доменної інфраструктури розриває ланцюг атаки й зменшує фінансові збитки від банківського та кредитного фроду. Користувачам варто посилити базову кібергігієну й критично сприймати «вигідні пропозиції», що вимагають встановлення APK або переходу за незнайомими посиланнями. Систематичний підхід до мобільної безпеки сьогодні — менше шансів для кіберзлочинців завтра.
