F6 и RuStore заблокировали более 600 доменов, распространявших Аndroid-троян DeliveryRAT

Аналитики F6 и RuStore выявили и заблокировали 604 домена, которые входили в инфраструктуру злоумышленников, заражавших мобильные устройства пользователей вредоносным ПО для кражи денег и конфиденциальных данных. Троян DeliveryRAT маскировался под популярные приложения для доставки еды, маркетплейсы, банковские сервисы и трекинг посылок. Экспертам стало известно как минимум о трех скам-группах, привлекающих жертв на вредоносные ресурсы для установки ВПО.

Напомним, что летом 2024 года специалисты F6 обнаружили новый Android-троян и дали ему имя DeliveryRAT (Remote Access Trojan). Его основной задачей являлся сбор конфиденциальных данных для оформления кредитов в микрофинансовых организациях или кража денег из онлайн-банкинга. Обнаруженные образцы DeliveryRAT распространялись под видом сервисов для доставки еды, маркетплейсов, банковских услуг, а также приложений для трекинга посылок.

 Позднее эксперты выявили telegram-бот «Bonvi Team», где DeliveryRAT был представлен как услуга (Malware—as—a—Service, MaaS). Именно в специальных telegram-ботах злоумышленники генерируют ссылки на фейковые сайты, с которых происходит скачивание вредоносных APK-файлов на Android-устройства.  После того как жертва, кликнув на ссылку, скачивает вредоносное приложение с поддельной страницы, она может лишиться конфиденциальных данных и денег на счете.

Само заражение устройств жертв происходит с помощью нескольких распространенных сценариев: 


Отслеживания заказа из фейкового маркетплейса

Злоумышленники создают объявления с товарами по заниженной цене на маркетплейсах, либо в фейковых магазинах. Под видом продавца или менеджера преступник связывается с жертвой через Telegram или WhatsApp, где в процессе разговора жертва сообщает ему личные данные, такие как: ФИО получателя, адрес доставки заказа и номер телефона. Для отслеживания заказа менеджер просит скачать вредоносное приложение.

Трудоустройство

Злоумышленники создают поддельные объявления о найме на удаленную работу с хорошими условиями и зарплатой. Жертву также переводят в мессенджеры, где предварительно собирают ее данные: СНИЛС, номер карты, телефона и дату рождения. Далее мошенники просят установить приложение для работы, которое также является вредоносным.

Распространение рекламных постов в социальных сетях, мессенджерах

Специалисты F6 также выявили распространение рекламных телеграмм постов с предложением скачать приложение.

«Для того, чтобы атаковать жертву, злоумышленники использовали различные хитроумные сценарии: создавали фейковые объявления о купле-продаже или поддельные объявления о найме на удаленную работу с высокой зарплатой, — подчеркнул Евгений Егоров, ведущий аналитик департамента Digital Risk Protection компании F6. — Дальше диалог с жертвой переводят в мессенджеры и уговаривают установить мобильное приложение, которое оказывается вредоносным». 

Благодаря системе графового анализа сетевой инфраструктуры эксперты F6  провели исследование сайтов, связанных с этой схемой распространения вредоносного ПО.  Были обнаружены три преступные группы, привлекающие жертв на вредоносные ресурсы для установки ВПО. В результате совместной работы F6 и RuStore были оперативно выявлены и заблокированы 604 домена, которые были задействованы в инфраструктуре злоумышленников. Все подробности — читайте в новом блоге.

Для борьбы с цифровыми угрозами RuStore использует решение Digital Risk Protection от F6 . Технология на базе ИИ позволяет в автоматическом режиме блокировать фишинговые ресурсы и поддельные приложения, которые маскируются под легальный софт, но могут содержать вредоносное ПО.

«Злоумышленники регулярно меняют свой подход — корректируют ключевые слова и другие элементы, чтобы затруднить оперативную блокировку и не вызывать подозрений со стороны пользователей. Поэтому очень важно, чтобы пользователи оставались бдительными и загружали приложения только из официальных источников, — отметил Дмитрий Морев, директор по информационной безопасности RuStore.

Специалисты F6 делятся рекомендациями, как не стать жертвой такого типа вредоносных программ, как DeliveryRAT:

— не переходите по ссылкам, полученным от незнакомых контактов;

— загружайте приложения исключительно c официальных сайтов, например, с сайта магазина приложений Rustore — rustore.ru;

— тщательно проверяйте доменные имена ресурсов, на которые собираетесь перейти – например, с помощью VirusTotal. Если домен сайта отличается от оригинального или просто кажется вам подозрительным – не открывайте страницу;

— следите за правами приложений, выдавайте их, используя парадигму «необходимо и достаточно»;

— проверяйте доменное имя сайта, на котором находитесь, и используйте Whois-сервисы для определения даты создания домена. Если сайт выдает себя за известный бренд, но был создан недавно, это должно вызвать подозрения;

— если вы понимаете, что ваша банковская карта скомпрометирована, сразу же заблокируйте её, позвонив на горячую линию банка, или с использованием банковского приложения.

Платформа «Антифишинг» от F6 позволяет каждому пользователю внести свой вклад в борьбу с киберпреступностью. Если вы обнаружили подозрительный сайт или получили фишинговое письмо, отправьте ссылку или сообщение на платформу. Специалисты F6 проверят информацию и быстро передадут её регуляторам для блокировки.