Всем привет! С вами снова эксперты Angara MTDR Александр Гантимуров, руководитель направления обратной разработки, и Арсений Пашинский, младший эксперт по защите бренда. Мы обнаружили фишинговый ресурс крупной логистической компании, на котором пользователям предлагали установить фишинговый файл под видом приложения для отслеживания доставки грузов и изучили вредонос. Расскажем, как он выглядит со стороны пользователя, чем грозит его установка, и как ВПО работает внутри.
Описание ресурса
В середине августа 2025 года компания СДЭК выпустила обновлённое мобильное приложение для контроля статуса отправлений. Вместе с ним обновилась и страница mobile.cdek.ru. Обнаруженный нами ресурс cdektrack.icu был создан в начале сентября и обновлен в октябре этого года. Первоначально его визуальное оформление повторяло структуру и элементы официального сайта логистической компании. Сайт предлагал пользователям – физическим лицам – «создать личный кабинет в вашем кармане» и давал инструкцию по установке приложения CDEK.apk на смартфон. Однако, вместо легального приложения по ссылке был размещен вредоносный APK-файл.
В новой версии лендинга, появившейся после обновления сайта, кнопка «Скачать приложение» была закреплена в верхней части экрана и оставалась видимой при прокрутке контента. Постоянное присутствие этого элемента упрощало доступ к заражённому файлу CDEK.apk и повышало вероятность его скачивания пользователем. Со страницы пропали лишние элементы, осталась подробная пошаговая инструкция по установке и вспомогательные элементы, часть ссылок с них вела на официальный сайт, что также притупляло бдительность пользователей.
Оперативное изменение дизайна ресурса cdektrack.icu показывает, что злоумышленники постоянно оптимизируют фишинговые ресурсы, повышая их качество.
Эксперты Angara MTDR, корпоративного центра ГосСОПКА класса «А», отправили фишинговую страницу на блокировку в Национальный координационный центр по компьютерным инцидентам (НКЦКИ).
Функционал ВПО
Приложение представляет собой вредоносное программное обеспечение семейства BTMOB RAT, нацеленное на пользователей Android устройств. Распространяется в рамках бизнес модели Malware-as-a-Service (MaaS) через Telegram с декабря 2024 года.
BTMOB RAT раскрывает свой вредоносный функционал только если пользователь даст нужные разрешения. Для этого используются разные приёмы социальной инженерии: сообщения с просьбой обновить приложение и постоянные напоминания о том, что нужно настроить приложение после установки. Без этого оно не сможет получить полный доступ к устройству и не будет представлять угрозы пользователю. Для обхода проверки Google Play на вредоносность, в BTMOB RAT используется двухэтапная установка, обфускация манифеста и ресурсов, а также шифрование вредоносной нагрузки и строк.
После установки и получения необходимых привилегий BTMOB RAT предоставляет злоумышленнику следующий функционал:
1. Получение полного доступа к файлам на устройстве.
2. Запись и трансляция видео с экрана устройства.
3. Запись аудио.
4. Внедрение кода в веб-страницы.
5. Установка дополнительных приложений без участия пользователя.
6. Чтение и отправка SMS.
7. Выгрузка реквизитов учетных записей и контактов.
8. Запись журнала нажатых клавиш (keylogger).
9. Доступ к журналу вызовов.
10. Доступ к буферу обмена.
11. Изменение настроек телефона (в том числе блокировка).
12. Доступ к геолокации устройства.
Кроме этого, приложение может определять факт работы в эмуляторе с последующим прекращением работы и препятствовать своему удалению. При попытке отозвать разрешения, остановить или удалить приложение просто открывается рабочий стол устройства.
BTMOB может быть установлен на системы вплоть до Android 15 включительно, актуальные версии успешно проходят проверку Google Play при установке из APK.
Развёртывать инфраструктуру, покупать услуги VPS и настраивать панели администратора не требуется — всё включено и работает через специальное приложение после регистрации и продления подписки. От злоумышленника необходимо только придумать способ доставки приложения конечному пользователю, задать иконку приложения и выбрать необходимый функционал в конструкторе. А потом ожидать подключения от зараженных устройств.
О первых версиях BTMOB RAT ранее писали ANY.RUN и Cyble. За последний год вредонос обзавелся множеством улучшений как интерфейса оператора, так и функционала обхода средств защиты и получения данных с зараженных устройств.
BTMOB RAT является еще одним наследником Craxs RAT, который, в свою очередь, создан на основе SpyMAX. Поэтому большинством антивирусных средств выявляется как один из вариантов SpyMAX.
По сравнению со своими предшественниками, BTMOB RAT гораздо лучше защищен от исследования, так как использует целый комплекс подходов по обфускации и шифрованию ключевых данных.
Вредоносный трекер от CDEK
К нам на исследование попал BTMOB версии 3.6.1, который выдает себя за приложение для CDEK.
BTMOB состоит из нескольких частей — установщика и основной вредоносной части, которая внедряется в результате работы установщика. Вторая часть скрывается внутри установщика в зашифрованном виде. Все части сильно обфусцированы, все строки зашифрованы при помощи XOR, а наиболее критичные данные дополнительно зашифрованы AES128CBC.
После запуска приложение проверяет факт установки целевой нагрузки и наличие соответствующих разрешений на установку приложений.
Если целевая нагрузка еще не установлена и прав на установку приложений нет, то появляется сообщение, убеждающее пользователя о необходимости «обновления». Текст сообщения зависит от языковых настроек устройства — в коде предусмотрены версии для русского, английского, армянского, турецкого, португальского, испанского и китайского языков.
Сообщение пытается мимикрировать под уведомление от Google Play — используется иконка приложения и его название. Дата «обновления» выбирается на основе текущей, чтобы дополнительно усыпить бдительность пользователя.
Таким образом злоумышленник пытается убедить пользователя дать разрешения на установку «обновления», а по сути, — целевой вредоносной нагрузки.
Дальше будет предложено разрешить приложение установку «обновлений».
Вредоносная нагрузка расшифровывается из ресурсов с последующим запросом к пользователю на установку.
После установки основной вредоносной нагрузки будет отображено фиктивное окно с загрузкой CDEK.
И еще один запрос на получение доступа к службе Accessibility.
Еще раз отметим, что без выдачи соответствующих разрешений приложение работать не будет. Но периодично будет появляться уведомление о необходимости «донастроить» приложение. Злоумышленник таким образом настойчиво принуждает пользователя предоставить необходимые привилегии вредоносному приложению.
Современные версии Android дополнительно предупреждают пользователя о том, что приложение будет иметь полный доступ к устройству.
После получения доступа к сервису Accessibility установщик BTMOB скрывается из списка приложений и остается только вредоносная нагрузка.
По окончании процесса загрузки приложение пытается отобразить сайт hXXps://www.cdektrack[.]sds, который в настоящее время недоступен. Наиболее вероятно, что данный сайт являлся фишинговой версией сайта CDEK, чтобы у пользователя было меньше подозрений о вредоносности приложения.
Стоить отметить, BTMOB RAT всячески препятствует удалению приложения и отзыву выданных разрешений. Когда пользователь пытается открыть настройки приложения — просто открывается рабочий стол и ничего не происходит. В этом случае удалить установленный BTMOB RAT остается возможным только через Recovery или через компьютер при помощи Android Device Bridge (ADB).
Технические детали
Все компоненты BTMOB защищены от исследования при помощи APKEditor. Данный упаковщик обфусцирует названия файлов ресурсов и вносит изменения в манифест приложения с целью усложнения анализа.
Основная вредоносна�� нагрузка расположена вместе с шаблонами отображаемых страниц в ресурсах установщика и дополнительно зашифрована.
Кроме этого, все используемые строки также зашифрованы при помощи XOR, а самые важные при помощи AES.
Установщик
После снятия обфускации APKEditor и корректного декодирования манифеста мы можем приступить к анализу самого образца.
Установщик запрашивает следующие «опасные» разрешения
Разрешение |
Описание |
android.permission.BIND_DEVICE_ADMIN |
Предоставляет возможности администрировать устройство |
android.permission.FOREGROUND_SERVICE |
Работа в фоновом режиме |
android.permission.REQUEST_DELETE_PACKAGES |
Позволяет удалить приложения с устройства после разрешения пользователя |
android.permission.REQUEST_INSTALL_PACKAGES |
Позволяет установить устройство после разрешения пользователя. |
Последние разрешения являются самыми важными в работе этой части BTMOB RAT — при старте проверяется факт установки вредоносной нагрузки и наличие соответствующих разрешений на установку.
После выдачи соответствующих разрешений пользователем — осуществляется расшифровка следующей части и его установка.
Установка происходит без сохранения вредоносной нагрузки в виде файла. Код установщика частично заимствован из Android Split APKs Installer.
BTMOB RAT
Основная вредоносная нагрузка также упакована APKEditor, поэтому требует деобфускации и корректного декодирования AndroidManifest для продолжения исследования.
При установке приложение может запрашивать следующие разрешения.
Разрешение |
Описание |
android.permission.ACCESS_FINE_LOCATION |
Доступ к точному местоположению устройства |
android.permission.BIND_ACCESSIBILITY_SERVICE |
Доступ к специальным возможностям устройства, которые позволяют перехватывать жесты и нажатия клавиш в любых приложениях |
android.permission.CALL_PHONE |
Обработка и осуществление звонков с устройства |
Доступ к камере устройства |
|
android.permission.DUMP |
Доступ к состоянию системных служб |
android.permission.FOREGROUND_SERVICE |
Возможность работы в фоновом режиме |
android.permission.READ_CONTACTS |
Доступ к контактам |
android.permission.READ_PHONE_NUMBERS |
Получение номера телефона из SIM карты |
Чтение SMS |
|
android.permission.RECEIVE_BOOT_COMPLETED |
Получение уведомления об окончании загрузки устройства (для автозапуска) |
android.permission.REQUEST_DELETE_PACKAGES |
Возможность запроса на удаление приложение |
android.permission.REQUEST_IGNORE_BATTERY_OPTIMIZATIONS |
Игнорирование оптимизация расходования заряда батареи с целью обеспечения беспрерывной фоновой работы |
android.permission.SEND_SMS |
Отправка SMS |
android.permission.WRITE_CONTACTS |
Запись контактов |
После запуска приложение проверяет наличие разрешение на работу в качестве сервиса Accessibility. В противном случае отображается уведомление о необходимости предоставить необходимые права.
Базовые настройки хранятся в отдельном абстрактном классе. Настройки бота могут меняться в процессе работы и хранятся в SharedPreferences от имени пакета установщика.
IP-адрес C2, URL фишинговой страницы и идентификатор злоумышленника (email) зашифрованы при помощи AES128CBС и упакованы в base64.
Отдельно указываются зашифрованные при помощи XOR резервный URL C2 (ws://195.160.221.203:8080), путь URL для отправки сообщений об ошибках (log_error.php) и запросов к С2 для получения команд (/yaarsa/private/yarsap_80541.php). По всей видимости они не меняются при пересборке приложения.
Среди расшифрованных строк можно заметить версию BTMOB RAT, которая отправляется на сервер C2 в процессе взаимодействия.
Сетевое взаимодействие осуществляется по HTTP с последующим переходом на websocket с целью минимизации задержек. Данные отправляются в формате JSON.
Связь SpyMAX и CraxsRAT
В ходе исследования BTMOB RAT выявляются заимствования кода из SpyMAX и его наследника — CraxsRAT.
Связь с прародителем — SpyMAX — проявляется с самого начала исследования приложения. Проверка на работу в виртуальной среде, использование SAI (Split APKs Installer) для установки приложений и даже код выбора языка сообщений у SpyMAX полностью идентичен.
В исходном SpyMAX не было обфускации строк, двухэтапной установки и поддержки русского языка.
В отличие от CraxsRAT здесь дополнительно шифруется вредоносная нагрузка и все используемые строки. Конфигурация в CraxsRAT хранилась почти в открытом виде, в BTMOB RAT ключевые строки еще дополнительно шифруются на AES128CBC.
Как и последние версии CraxsRAT для дополнительного усложнения исследования используется APKEditor.
Индикаторы компрометации
Значение |
Описание |
www[.]cdektrack[.]sds |
Сайт, отображаемый BTMOB RAT |
cdektrack[.]icu |
Источник распространения BTMOB RAT |
80.85.154.174 |
Основной С2 |
195.160.221.203:8080 |
Резернвый C2 |
Выводы
На современные версии Android гораздо сложнее установить вредоносное приложение без ведома пользователей. Поэтому для распространения и внедрения на устройства злоумышленники могут рассчитывать только на методы социальной инженерии. Причем для успешной установки необходимо выполнить всю цепочку заражения:
1. Скачать APK с сайта.
2. Установить.
3. Дать разрешение на установку других приложений.
4. Установить «обновление».
5. Дать разрешения BTMOB RAT к службе доступности.
Но на каждом ключевом этапе выдачи разрешений современные версии Android настойчиво предупреждают об опасности выданных разрешений.
Чтобы избежать заражения такого рода вредоносными программами пользователю необходимо только:
1. Исключить установку файлов APK с каких-либо сайтов и устанавливать приложения только из Google Play Market и RuStore.
2. Не давать разрешения на установку приложений другими приложениями, кроме вышеперечисленных.
Но судя по распространению подобного рода приложений и активности злоумышленников, пользователи все еще верят всплывающим сообщениям и готовы выдать BTMOB RAT все необходимые разрешения. А антивирус для мобильных устройств ставят единицы.
Мы же на примере стремительного развития BTMOB RAT можем наблюдать как вредоносное ПО, распространяющееся по модели Malware-as-a-Service превратилось в продуманную бизнес-модель. Существенно снизился порог входа в киберпреступный бизнес, поскольку злоумышленнику достаточно приобрести подписку и убедить жертву установить вредоносное ПО — вся инфраструктура, поддержка и удобные интерфейсы предоставляются разработчиком MaaS. Несмотря на защитные механизмы Android, социальная инженерия остается эффективным инструментом для массового заражения устройств.
Благодаря этому, MaaS способствует росту числа атак, расширяя базу потенциальных злоумышленников, а сам рынок такого вредоносного ПО развивается по законам легального IT-сектора, с элементами маркетинга, конкуренции и сервисного обслуживания.