Поделиться
F6 и RuStore заблокировали более 600 доменов, распространявших Аndroid-троян DeliveryRAT
Аналитики F6 и RuStore выявили и заблокировали 604 домена, которые входили в инфраструктуру злоумышленников, заражавших мобильные устройства пользователей вредоносным ПО для кражи денег и конфиденциальных данных. Троян DeliveryRAT маскировался под популярные приложения для доставки еды, маркетплейсы, банковские сервисы и трекинг посылок. Экспертам стало известно как минимум о трех скам-группах, привлекающих жертв на вредоносные ресурсы для установки ВПО. Об этом CNews сообщили представители F6.
Летом 2024 г. специалисты F6 обнаружили новый Android-троян и дали ему имя DeliveryRAT (Remote Access Trojan). Его основной задачей являлся сбор конфиденциальных данных для оформления кредитов в микрофинансовых организациях или кража денег из онлайн-банкинга. Обнаруженные образцы DeliveryRAT распространялись под видом сервисов для доставки еды, маркетплейсов, банковских услуг, а также приложений для трекинга посылок.
Позднее эксперты выявили telegram-бот «Bonvi Team», где DeliveryRAT был представлен как услуга (Malware-as-a-Service, MaaS). Именно в специальных telegram-ботах злоумышленники генерируют ссылки на фейковые сайты, с которых происходит скачивание вредоносных APK-файлов на Android-устройства. После того как жертва, кликнув на ссылку, скачивает вредоносное приложение с поддельной страницы, она может лишиться конфиденциальных данных и денег на счете.
Заражение устройств жертв происходит с помощью нескольких распространенных сценариев.
Отслеживания заказа из фейкового маркетплейса
Злоумышленники создают объявления с товарами по заниженной цене на маркетплейсах, либо в фейковых магазинах. Под видом продавца или менеджера преступник связывается с жертвой через Telegram или WhatsApp, где в процессе разговора жертва сообщает ему личные данные, такие как: ФИО получателя, адрес доставки заказа и номер телефона. Для отслеживания заказа менеджер просит скачать вредоносное приложение.
Злоумышленники создают поддельные объявления о найме на удаленную работу с хорошими условиями и зарплатой. Жертву также переводят в мессенджеры, где предварительно собирают ее данные: СНИЛС, номер карты, телефона и дату рождения. Далее мошенники просят установить приложение для работы, которое также является вредоносным.
Распространение рекламных постов в социальных сетях, мессенджерах
Специалисты F6 также выявили распространение рекламных телеграмм постов с предложением скачать приложение.
«Для того, чтобы атаковать жертву, злоумышленники использовали различные хитроумные сценарии: создавали фейковые объявления о купле-продаже или поддельные объявления о найме на удаленную работу с высокой зарплатой, — сказал Евгений Егоров, ведущий аналитик департамента Digital Risk Protection компании F6. — Дальше диалог с жертвой переводят в мессенджеры и уговаривают установить мобильное приложение, которое оказывается вредоносным».
Благодаря системе графового анализа сетевой инфраструктуры эксперты F6 провели исследование сайтов, связанных с этой схемой распространения вредоносного ПО. Были обнаружены три преступные группы, привлекающие жертв на вредоносные ресурсы для установки ВПО. В результате совместной работы F6 и RuStore были оперативно выявлены и заблокированы 604 домена, которые были задействованы в инфраструктуре злоумышленников.
Для борьбы с цифровыми угрозами RuStore использует решение Digital Risk Protection от F6. Технология на базе ИИ позволяет в автоматическом режиме блокировать фишинговые ресурсы и поддельные приложения, которые маскируются под легальный софт, но могут содержать вредоносное ПО.
«Злоумышленники регулярно меняют свой подход — корректируют ключевые слова и другие элементы, чтобы затруднить оперативную блокировку и не вызывать подозрений со стороны пользователей. Поэтому очень важно, чтобы пользователи оставались бдительными и загружали приложения только из официальных источников, — сказал Дмитрий Морев, директор по информационной безопасности RuStore.
Короткая ссылка
