Эксперты обнаружили усовершенствованную версию Android-трояна DeliveryRAT с функциями DDoS-атак и кражей финансовых данных

Исследователи впервые столкнулись с DeliveryRAT еще в 2024 году, но уже к апрелю 2025 года злоумышленники значительно модернизировали свой инструмент. Ключевыми нововведениями стали возможности организации распределенных атак на отказ в обслуживании (DDoS), запуск различных визуальных активностей для кражи дополнительных данных и функция перенаправления пользователей на сторонние ресурсы через отображение QR-кодов.

Распространение ВПО осуществляется через сложную инфраструктуру, включающую Telegram-бота «Bonvi Team», который генерирует либо ссылки на фишинговые страницы, имитирующие сервисы загрузки приложений, либо непосредственно вредоносные образцы. Совместными усилиями F6 и RuStore было заблокировано более 600 доменов, связанных с распространением этого троянца.

В некоторых случаях злоумышленники используют дополнительное звено атаки - приложение-загрузчик с именем пакета com.harry.loader. Этот загрузчик отображает пользователю фальшивое окно обновления, а после нажатия кнопки «Обновить» запрашивает разрешения на установку сторонних приложений. Получив права, он устанавливает основной троянец DeliveryRAT.

Особую опасность представляет стратегия маскировки DeliveryRAT под доверенные приложения. Исследователи обнаружили образцы, имитирующие службы доставки, маркетплейсы, банковские приложения, нотариальные сервисы, мод для Telegram Oniongram, сервисы поиска специалистов и попутчиков, платформы размещения объявлений и даже государственные сервисы.

Функциональный арсенал троянца впечатляет разнообразием. Базовая версия включала эксфильтрацию SMS-сообщений и Push-уведомлений, выполнение USSD-запросов, скрытие иконки приложения и отправку произвольных SMS. В обновленной версии добавились запуск фишинговых активностей для ввода данных банковских карт, эксфильтрация списка контактов, массовая рассылка SMS и проведение DDoS-атак.

Технический анализ показал, что троянец использует комбинированный подход к коммуникации с командным сервером. Для управления применяется WebSocket-соединение, тогда как для передачи украденных данных задействуются HTTP-запросы. Приложение реализует сложную систему отслеживания своего состояния, отправляя на сервер уведомления о запуске, сворачивании и закрытии.

Особого внимания заслуживает механизм фишинговых активностей, которые запускаются по команде с сервера. Всего реализовано пять типов окон: Card для ввода данных банковских карт, Custom с различными конфигурациями полей ввода, Photo для кражи фотографий, Qr для отображения QR-кодов и Text для показа произвольного текста. Каждая активность позволяет операторам троянца модерировать отображаемый текст, адаптируя фишинговую атаку под конкретный сценарий.

Исследователи также обнаружили модифицированную версию троянца, имитирующую несуществующий сервис возврата средств. В этом варианте вместо ввода трек-номера пользователю предлагается ввести код возврата, после чего отображается форма для ввода суммы возврата, номера телефона и данных банковской карты.

Эксперты отмечают, что DeliveryRAT продолжает оставаться серьезной угрозой для пользователей Android-устройств в России. Эволюция троянца демонстрирует тенденцию к расширению функциональности - от классического стилера до многофункционального инструмента для финансовых преступлений и кибератак. Специалисты рекомендуют пользователям проявлять особую бдительность при установке приложений из ненадежных источников и тщательно проверять запрашиваемые разрешения.

Domains

• akokakola.com
• apiepi01.com
• apiepi03.com
• apikosla.com
• apiscoles.com
• apiskasla.com
• apispawns.com
• apistorus.com
• apitest.sbs
• i57038i.live
• keycardapi.com
• kokospoki.com
• shvuor.com

MD5

• 0110b0a0cd20abe6e9c00829d1d92729
• 19be4a6693579727a66439c45d9ce99e
• 42ce4d0c3d373220d3a5c8c52579daa4
• 6ddf16c6893c30cd440403aaf416b632
• 88b2d2a02104ba370f12685738a42ab6
• f33ee079a1388b89b04fab6ce60198a5

SHA1

• 0ac299edbe72a89a94787c3b379de803664d4f11
• 4e00aa31cc468ce4b66e73276d385af16f8b808a
• 744038673da11d2e52d32528503419d0de336d11
• a3261679ea0625be3ef7f8290984d35c3763fdf7
• affb560410fc3f08e77b6e0bc7ff1cb7dab2a575
• d1fb8ea2063e6d15e7d30384aeef43e7b7b5b1c6

SHA256

• 2c897d0d43469381e4cab57a4ee33b862c16be4234524e013319a91224b5ef21
• 3a0284bef748a7d875d1ae3b3f53c8e8e63eecb485d5da6c60965a52ac69a1e8
• a0e762f936312d7ac933c011e12fe2deb7f88ba63b6b80a188fa54178c6653f8
• a7af4506f6adc3a7698df8b55056749ec2ba258761d3aee7a3aa735339a1d152
• c64eb9cc28335f000e61f5e2afa97b30e43dd8852e41edc30b4ec02684b81e5a
• e26ad1588ba12005cfaf8d0ed006dc5ad2aefe92256e29a71a7abbb6636c4101