Android-троян мутировал. DeliveryRAT теперь не только крадёт ваши SMS, но и запускает с вашего телефона DDoS-атаки

Эксперты F6 Threat Intelligence представили подробный отчёт о новой версии Android-трояна DeliveryRAT, активно распространяющегося в России во второй половине 2025 года. Это обновлённый вариант вредоносного ПО, впервые зафиксированного в 2024-м и известного своей гибкостью и масштабом атак. Теперь троян не только крадёт данные, но и способен выполнять DDoS-атаки и имитировать интерфейсы популярных приложений для выманивания конфиденциальной информации.

По данным F6, злоумышленники маскируют DeliveryRAT под приложения служб доставки, банков, маркетплейсов, сервисов поиска специалистов и даже под государственные сервисы. Некоторые версии выдавали себя за «мод для Telegram» или за приложение для возврата средств. При запуске пользователю показывается фальшивое окно обновления с кнопкой «Обновить» — после нажатия на неё троян устанавливается на устройство и получает требуемые разрешения.

Исследователи отмечают, что все загрузчики имеют одинаковое имя пакета com.harry.loader и содержат вредоносный код внутри директории raw. После установки DeliveryRAT начинает активную коммуникацию с командными серверами, среди которых обнаружены домены akokakola[.]com, apiepi03[.]com, apistorus[.]com и другие. Через зашифрованные WebSocket-соединения троян получает команды операторов и отправляет собранные данные.

Базовый функционал DeliveryRAT включает кражу SMS и push-уведомлений, перехват USSD-команд, отправку сообщений, скрытие иконки приложения и имитацию экранов ввода данных. Обновлённая версия получила значительно больше возможностей: выполнение DDoS-атак по команде, сбор и рассылку контактных данных, отображение поддельных форм для ввода банковской информации, сканирование QR-кодов и даже скрытую функцию общения с жертвой под видом службы поддержки.

В отчёте приведён пример конфигурации заражённого приложения, распространявшегося под видом маркетплейса. Оно связывалось с C2-сервером akokakola[.]com, передавало данные о SIM-картах, модели телефона, версии Android и IP-адресе, а также получало от оператора инструкции в формате JSON-объектов. Команды позволяли не только собирать личные данные, но и выполнять сетевые атаки, массово отправлять SMS или скрывать следы присутствия.

Среди пяти типов поддельных активностей, которые троян может показывать пользователю, — Card (ввод данных банковской карты), Photo (отправка фотографии), Qr (отображение QR-кода), Custom (произвольные формы) и Text (показ сообщений). Все они направлены на получение личных данных или подтверждение действия, после чего информация пересылается на сервер злоумышленников.

Некоторые модификации DeliveryRAT работают в «мини-режиме», запрашивая минимум разрешений, чтобы оставаться менее заметными. В этом случае троян ограничивается функцией перехвата SMS, но сохраняет возможность удалённого управления и передачи информации через WebSocket.

Отдельное внимание исследователи уделили изменённой сборке под названием vozvrat.apk, маскирующейся под приложение «возврата средств». Она предлагала ввести сумму, номер телефона и реквизиты карты для «оформления возврата», после чего отправляла эти данные на сервер под видом легальной операции.

F6 предупреждает, что DeliveryRAT активно развивается и становится универсальным инструментом: от финансового мошенничества до организации DDoS-атак. Это делает угрозу опасной не только для отдельных пользователей, но и для компаний, инфраструктура которых может быть вовлечена в массовые сетевые атаки.

Эксперты напоминают: не следует устанавливать APK-файлы из непроверенных источников и важно проверять права, запрашиваемые приложениями. DeliveryRAT активно использует доверие пользователей к известным брендам, поэтому его новая волна может оказаться особенно масштабной.