Блог компании Angara Security Информационная безопасность * Кейс Всем привет! С вами снова эксперты Angara MTDR Александр Гантимуров, руководитель направления обратной разработки, и Арсений Пашинский, младший эксперт по защите бренда. Мы обнаружили фишинговый ресурс крупной логистической компании, на котором пользователям предлагали установить фишинговый файл под видом приложения для отслеживания доставки грузов и изучили вредонос. Расскажем, как он выглядит со стороны пользователя, чем грозит его установка, и как ВПО работает внутри. Описание ресурса В середине августа 2025 года компания СДЭК выпустила обновлённое мобильное приложение для контроля статуса отправлений. Вместе с ним обновилась и страница mobile.cdek.ru . Обнаруженный нами ресурс cdektrack.icu был создан в начале сентября и обновлен в октябре этого года. Первоначально его визуальное оформление повторяло структуру и элементы официального сайта логистической компании. Сайт предлагал пользователям – физическим лицам – «создать личный кабинет в вашем кармане» и давал инструкцию по установке приложения CDEK.apk на смартфон. Однако, вместо легального приложения по ссылке был размещен вредоносный APK-файл. В новой версии лендинга, появившейся после обновления сайта, кнопка «Скачать приложение» была закреплена в верхней части экрана и оставалась видимой при прокрутке контента. Постоянное присутствие этого элемента упрощало доступ к заражённому файлу CDEK.apk и повышало вероятность его скачивания пользователем. Со страницы пропали лишние элементы, осталась подробная пошаговая инструкция по установке и вспомогательные элементы, часть ссылок с них вела на официальный сайт, что также притупляло бдительность пользователей. Обновленный дизайн фишингового сайта. Оперативное изменение дизайна ресурса cdektrack.icu показывает, что злоумышленники постоянно оптимизируют фишинговые ресурсы, повышая их качество. Эксперты Angara MTDR, корпоративного центра ГосСОПКА класса «А», отправили фишинговую страницу на блокировку в Национальный координационный центр по компьютерным инцидентам (НКЦКИ). Функционал ВПО Приложение представляет собой вредоносное программное обеспечение семейства BTMOB RAT, нацеленное на пользователей Android устройств. Распространяется в рамках бизнес модели Malware-as-a-Service (MaaS) через Telegram с декабря 2024 года. BTMOB RAT раскрывает свой вредоносный функционал только если пользователь даст нужные разрешения. Для этого используются разные приёмы социальной инженерии: сообщения с просьбой обновить приложение и постоянные напоминания о том, что нужно настроить приложение после установки. Без этого оно не сможет получить полный доступ к устройству и не будет представлять угрозы пользователю. Для обхода проверки Google Play на вредоносность, в BTMOB RAT используется двухэтапная установка, обфускация манифеста и ресурсов, а также шифрование вредоносной нагрузки и строк. После установки и получения необходимых привилегий BTMOB RAT предоставляет злоумышленнику следующий функционал: 1. Получение полного доступа к файлам на устройстве. 2. Запись и трансляция видео с экрана устройства. 3. Запись аудио. 4. Внедрение кода в веб-страницы. 5. Установка дополнительных приложений без участия пользователя. 6. Чтение и отправка SMS. 7. Выгрузка реквизитов учетных записей и контактов. 8. Запись журнала нажатых клавиш (keylogger). 9. Доступ к журналу вызовов. 10. Доступ к буферу обмена. 11. Изменение настроек телефона (в том числе блокировка). 12. Доступ к геолокации устройства. Кроме этого, приложение может определять факт работы в эмуляторе с последующим прекращением работы и препятствовать своему удалению. При попытке отозвать разрешения, остановить или удалить приложение просто открывается рабочий стол устройства. BTMOB может быть установлен на системы вплоть до Android 15 включительно, актуальные версии успешно проходят проверку Google Play при установке из APK. Расценки BTMOB RAT. Развёртывать инфраструктуру, покупать услуги VPS и настраивать панели администратора не требуется — всё включено и работает через специальное приложение после регистрации и продления подписки. От злоумышленника необходимо только придумать способ доставки приложения конечному пользователю, задать иконку приложения и выбрать необходимый функционал в конструкторе. А потом ожидать подключения от зараженных устройств. Пример подключенного устройства. О первых версиях BTMOB RAT ранее писали ANY.RUN и Cyble . За последний год вредонос обзавелся множеством улучшений как интерфейса оператора, так и функционала обхода средств защиты и получения данных с зараженных устройств. BTMOB RAT является еще одним наследником Craxs RAT , который, в свою очередь, создан на основе SpyMAX . Поэтому большинством антивирусных средств выявляется как один из вариантов SpyMAX. По сравнению со своими предшественниками, BTMOB RAT гораздо лучше защищен от исследования, так как использует целый комплекс подходов по обфускации и шифрованию ключевых данных. Вредоносный трекер от CDEK К нам на исследование попал BTMOB версии 3.6.1, который выдает себя за приложение для CDEK. Пример распространения ВПО. BTMOB состоит из нескольких частей — установщика и основной вредоносной части, которая внедряется в результате работы установщика. Вторая часть скрывается внутри установщика в зашифрованном виде. Все части сильно обфусцированы, все строки зашифрованы при помощи XOR, а наиболее критичные данные дополнительно зашифрованы AES128CBC. После запуска приложение проверяет факт установки целевой нагрузки и наличие соответствующих разрешений на установку приложений. Если целевая нагрузка еще не установлена и прав на установку приложений нет, то появляется сообщение, убеждающее пользователя о необходимости «обновления». Текст сообщения зависит от языковых настроек устройства — в коде предусмотрены версии для русского, английского, армянского, турецкого, португальского, испанского и китайского языков. Запрос на установку обновления. Сообщение пытается мимикрировать под уведомление от Google Play — используется иконка приложения и его название. Дата «обновления» выбирается на основе текущей, чтобы дополнительно усыпить бдительность пользователя. Таким образом злоумышленник пытается убедить пользователя дать разрешения на установку «обновления», а по сути, — целевой вредоносной нагрузки. Запрос разрешения. Дальше будет предложено разрешить приложение установку «обновлений». Разрешение установки. Вредоносная нагрузка расшифровывается из ресурсов с последующим запросом к пользователю на установку. Запрос установки обновления. После установки основной вредоносной нагрузки будет отображено фиктивное окно с загрузкой CDEK. Загрузка приложения. И еще один запрос на получение доступа к службе Accessibility. Запрос разрешение на работу сервисом доступности. Еще раз отметим, что без выдачи соответствующих разрешений приложение работать не будет. Но периодично будет появляться уведомление о необходимости «донастроить» приложение. Злоумышленник таким образом настойчиво принуждает пользователя предоставить необходимые привилегии вредоносному приложению. Уведомление о необходимости закончить настройку. Современные версии Android дополнительно предупреждают пользователя о том, что приложение будет иметь полный доступ к устройству. Уведомление Android. После получения доступа к сервису Accessibility установщик BTMOB скрывается из списка приложений и остается только вредоносная нагрузка. Процесс загрузки BTMOB RAT. По окончании процесса загрузки приложение пытается отобразить сайт hXXps://www.cdektrack[.]sds, который в настоящее время недоступен. Наиболее вероятно, что данный сайт являлся фишинговой версией сайта CDEK, чтобы у пользователя было меньше подозрений о вредоносности приложения. Стоить отметить, BTMOB RAT всячески препятствует удалению приложения и отзыву выданных разрешений. Когда пользователь пытается открыть настройки приложения — просто открывается рабочий стол и ничего не происходит. В этом случае удалить установленный BTMOB RAT остается возможным только через Recovery или через компьютер при помощи Android Device Bridge (ADB). Технические детали Все компоненты BTMOB защищены от исследования при помощи APKEditor . Данный упаковщик обфусцирует названия файлов ресурсов и вносит изменения в манифест приложения с целью усложнения анализа. Основная вредоносная нагрузка расположена вместе с шаблонами отображаемых страниц в ресурсах установщика и дополнительно зашифрована. Кроме этого, все используемые строки также зашифрованы при помощи XOR, а самые важные при помощи AES. Пример шифрования строк После снятия обфускации APKEditor и корректного декодирования манифеста мы можем приступить к анализу самого образца. Установщик запрашивает следующие «опасные» разрешения Разрешение Source: https://habr.com/ru/companies/angarasecurity/articles/972198/