F6 и RuStore заблокировали более 600 доменов, распространявших Аndroid-троян DeliveryRAT

Аналитики F6 и RuStore выявили и заблокировали 604 домена, которые входили в инфраструктуру злоумышленников, заражавших мобильные устройства пользователей вредоносным ПО для кражи денег и конфиденциальных данных. Троян DeliveryRAT маскировался под популярные приложения для доставки еды, маркетплейсы, банковские сервисы и трекинг посылок. Экспертам стало известно как минимум о трех скам-группах, привлекающих жертв на вредоносные ресурсы для установки ВПО.

Напомним, что летом 2024 года специалисты F6 обнаружили новый Android-троян и дали ему имя DeliveryRAT (Remote Access Trojan). Его основной задачей являлся сбор конфиденциальных данных для оформления кредитов в микрофинансовых организациях или кража денег из онлайн-банкинга.

Позднее эксперты выявили telegram-бот «Bonvi Team», где DeliveryRAT был представлен как услуга (Malware-as-a-Service, MaaS). Именно в специальных telegram-ботах злоумышленники генерируют ссылки на фейковые сайты, с которых происходит скачивание вредоносных APK-файлов на Android-устройства.  После того как жертва, кликнув на ссылку, скачивает вредоносное приложение с поддельной страницы, она может лишиться конфиденциальных данных и денег на счете. 

 Само заражение устройств жертв происходит с помощью нескольких распространенных сценариев:

 Отслеживания заказа из фейкового маркетплейса

Злоумышленники создают объявления с товарами по заниженной цене на маркетплейсах, либо в фейковых магазинах. Под видом продавца или менеджера преступник связывается с жертвой через Telegram или WhatsApp, где в процессе разговора жертва сообщает ему личные данные, такие как: ФИО получателя, адрес доставки заказа и номер телефона. Для отслеживания заказа менеджер просит скачать вредоносное приложение.

Трудоустройство 

Злоумышл