Аналитики F6 и RuStore выявили и заблокировали 604 домена, которые входили в инфраструктуру злоумышленников, заражавших мобильные устройства пользователей вредоносным ПО для кражи денег и конфиденциальных данных. Троян DeliveryRAT маскировался под популярные приложения для доставки еды, маркетплейсы, банковские сервисы и трекинг посылок. Экспертам стало известно как минимум о трех скам-группах, привлекающих жертв на вредоносные ресурсы для установки ВПО.
Напомним, что летом 2024 года специалисты F6 обнаружили новый Android-троян и дали ему имя DeliveryRAT (Remote Access Trojan). Его основной задачей являлся сбор конфиденциальных данных для оформления кредитов в микрофинансовых организациях или кража денег из онлайн-банкинга. Обнаруженные образцы DeliveryRAT распространялись под видом сервисов для доставки еды, маркетплейсов, банковских услуг, а также приложений для трекинга посылок.
Позднее эксперты выявили telegram-бот «Bonvi Team», где DeliveryRAT был представлен как услуга (Malware—as—a—Service, MaaS). Именно в специальных telegram-ботах злоумышленники генерируют ссылки на фейковые сайты, с которых происходит скачивание вредоносных APK-файлов на Android-устройства. После того как жертва, кликнув на ссылку, скачивает вредоносное приложение с поддельной страницы, она может лишиться конфиденциальных данных и денег на счете.
Заражение устройств жертв происходит с помощью нескольких распространенных сценариев:
Отслеживания заказа из фейкового маркетплейса
Злоумышленники создают объявления с товарами по заниженной цене на маркетплейсах, либо в фейковых магазинах. Под видом продавца или менеджера преступник связывается с жертвой через Telegram или WhatsApp, где в процессе разговора жертва сообщает ему личные данные, такие как: ФИО получателя, адрес доставки заказа и номер телефона. Для отслеживания заказа менеджер просит скачать вредоносное приложение.
Трудоустройство
Злоумышленники создают поддельные объявления о найме на удаленную работу с хорошими условиями и зарплатой. Жертву также переводят в мессенджеры, где предварительно собирают ее данные: СНИЛС, номер карты, телефона и дату рождения. Далее мошенники просят установить приложение для работы, которое также является вредоносным.
Распространение рекламных постов в социальных сетях, мессенджерах
Специалисты F6 также выявили распространение рекламных телеграмм постов с предложением скачать приложение.
«Для того, чтобы атаковать жертву, злоумышленники использовали различные хитроумные сценарии: создавали фейковые объявления о купле-продаже или поддельные объявления о найме на удаленную работу с высокой зарплатой, — подчеркнулЕвгений Егоров, ведущий аналитик департамента Digital Risk Protection компании F6. — Дальше диалог с жертвой переводят в мессенджеры и уговаривают установить мобильное приложение, которое оказывается вредоносным».
Благодаря системе графового анализа сетевой инфраструктуры эксперты F6 провели исследование сайтов, связанных с этой схемой распространения вредоносного ПО. Были обнаружены три преступные группы, привлекающие жертв на вредоносные ресурсы для установки ВПО. В результате совместной работы F6 и RuStore были оперативно выявлены и заблокированы 604 домена, которые были задействованы в инфраструктуре злоумышленников.
Для борьбы с цифровыми угрозами RuStore использует решениеDigital Risk Protection от F6 . Технология на базе ИИ позволяет в автоматическом режиме блокировать фишинговые ресурсы и поддельные приложения, которые маскируются под легальный софт, но могут содержать вредоносное ПО.
«Злоумышленники регулярно меняют свой подход — корректируют ключевые слова и другие элементы, чтобы затруднить оперативную блокировку и не вызывать подозрений со стороны пользователей. Поэтому очень важно, чтобы пользователи оставались бдительными и загружали приложения только из официальных источников, — отметил Дмитрий Морев, директор по информационной безопасности RuStore.
Специалисты F6 делятся рекомендациями, как не стать жертвой такого типа вредоносных программ, как DeliveryRAT:
— не переходите по ссылкам, полученным от незнакомых контактов;
— загружайте приложения исключительно c официальных сайтов, например, с сайта магазина приложений Rustore — rustore.ru;
— тщательно проверяйте доменные имена ресурсов, на которые собираетесь перейти – например, с помощью VirusTotal. Если домен сайта отличается от оригинального или просто кажется вам подозрительным – не открывайте страницу;
— следите за правами приложений, выдавайте их, используя парадигму «необходимо и достаточно»;
— проверяйте доменное имя сайта, на котором находитесь, и используйте Whois-сервисы для определения даты создания домена. Если сайт выдает себя за известный бренд, но был создан недавно, это должно вызвать подозрения;- если вы понимаете, что ваша банковская карта скомпрометирована, сразу же заблокируйте её, позвонив на горячую линию банка, или с использованием банковского приложения.
Оригинал публикации на сайте CISOCLUB: "F6 и RuStore заблокировали более 600 доменов, распространявших Аndroid-троян DeliveryRAT".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.