Специалисты F6 и RuStore сообщают, что обнаружили и заблокировали 604 домена, которые входили в инфраструктуру хакеров, заражавших мобильные устройства трояном DeliveryRAT. Вредонос маскировался под популярные приложения для доставки еды, маркетплейсы, банковские сервисы и трекинг посылок.
Еще летом 2024 года аналитики F6 обнаружили новый Android-троян, который назвали DeliveryRAT. Его основной задачей являлся сбор конфиденциальных данных для оформления кредитов в микрофинансовых организациях, а также кража денег через онлайн-банкинг.
Позже был обнаружен Telegram-бот Bonvi Team, где DeliveryRAT распространялся по схеме MaaS (Malware-as-a-Service, «Малварь-как-услуга»). Выяснилось, что через бота злоумышленники бесплатно получают образец трояна, после чего они сами должны доставить его на устройство жертвы.
Владельцы бота предлагают две опции на выбор: скачать собранный APK или получить ссылку на поддельный сайт, которая, предположительно, генерируется отдельно под каждого воркера.
Заражение устройств жертв происходило с помощью нескольких распространенных сценариев.
«Для того, чтобы атаковать жертву, злоумышленники использовали различные хитроумные сценарии: создавали фейковые объявления о купле-продаже или поддельные объявления о найме на удаленную работу с высокой зарплатой, — рассказывает Евгений Егоров, ведущий аналитик департамента Digital Risk Protection компании F6. — Дальше диалог с жертвой переводят в мессенджеры и уговаривают установить мобильное приложение, которое оказывается вредоносным».
Так, злоумышленники создают объявления с товарами по заниженной цене на маркетплейсах, либо в фейковых магазинах. Под видом продавца или менеджера преступники связываются с жертвой через Telegram или WhatsApp, и в процессе разговора жертва сообщает им свои личные данные (ФИО получателя, адрес доставки заказа и номер телефона). Для отслеживания фальшивого заказа менеджер просит скачать вредоносное приложение.
Также хакеры создают поддельные объявления о найме на удаленную работу с хорошими условиями и зарплатой. Общение с жертвой тоже переводят в мессенджеры, где предварительно собирают ее данные: СНИЛС, номер карты, телефона и дату рождения. Далее мошенники просят установить вредоносное приложение, которое якобы необходимо для работы.
Кроме того, специалисты выявили распространение рекламных постов в Telegram с предложением скачать зараженное DeliveryRAT приложение. В данном случае малварь обычно маскировалась под приложения со скидками и промокодами.
В отчете отмечается, что мошенническая схема получила широкое распространение, так как создание сгенерированных ссылок в Telegram-ботах не требует специальных технических знаний. Также ключевой особенностью схемы исследователи называют высокую степень автоматизации процессов.
Специалисты пишут, что на сегодняшний день им известно минимум о трех группировках, привлекающих жертв на вредоносные ресурсы для установки этой малвари.
Исследователи выявили и заблокировали 604 домена, которые были задействованы в инфраструктуре злоумышленников. Отмечается, что доменные имена часто формируются с использованием комбинаций схожих ключевых слов, таких как store, id, download, app и других.
