Вредоносное ПО маскировалось под легальное приложение логистики

Angara MTDR: вредоносное ПО маскировалось под легальное приложение логистической компании

Специалисты компании Angara MTDR, корпоративного центра ГосСОПКА класса «А», обнаружили и отправили на блокировку фишинговый ресурс, который распространял под видом легального приложения для отслеживания посылок шпионское ПО семейства BTMOB RAT. Вредоносная программа предоставляла злоумышленникам практически полный контроль над Android-устройствами пользователей.

Фишинговый сайт был замаскирован под официальный лендинг крупной логистической компании. Он предлагал физическим лицам установить файл в формате *.apk для «создания личного кабинета в вашем кармане». Внешний вид ресурса в точности копировал страницу перевозчика, а позже был преобразован в пошаговую инструкцию по установке приложения, что усиливало доверие пользователей.

«В середине августа 2025 года перевозчик выпустил обновленное мобильное приложение. Обнаруженный поддельный ресурс был создан осенью, что указывает на целенаправленную деятельность злоумышленников, которые воспользовались моментом повышенного интереса к сервису. Однако вместо легального ПО по ссылке был размещен вредоносный APK-файл», — прокомментировал Арсений Пашинский, младший эксперт по защите бренда Angara MTDR.

Проанализировав вредоносное приложение, эксперты Angara MTDR установили, что оно принадлежит к семейству BTMOB RAT (Remote Administration Tool). Это шпионское ПО распространяется по модели Malware-as-a-Service (MaaS) через Telegram-каналы, что делает его доступным даже для начинающих хакеров.

«BTMOB RAT раскрывает свой вредоносный потенциал только после получения от пользователя всех запрашиваемых разрешений. Для этого применяются методы социальной инженерии: ложные уведомления о необходимости обновить приложение или донастроить его. Без выданных привилегий программа неактивна и не представляет угрозы», — отметил Александр Гантимуров, руководитель направления обратной разработки Angara MTDR.

После получения прав BTMOB RAT предоставляет злоумышленнику широкий набор деструктивных функций, включая полный доступ к данным устройства (логам, журналам, буферу обмена, приложениям и файлам), возможность ведения скрытой аудио- и видеозаписи, трансляцию с экрана устройства, а также самостоятельную установку приложений и изменение настроек телефона. Кроме того, вредоносная программа препятствует своему удалению и отзыву выданных ей разрешений.

Важно, что BTMOB RAT совместим с системами вплоть до Android 15, а его актуальные версии могут обходить встроенные защитные механизмы при установке из APK-файла.

Эксперты Angara MTDR направили данные о фишинговой странице в Национальный координационный центр по компьютерным инцидентам (НКЦКИ) для ее блокировки.

Чтобы избежать заражения мобильных устройств, специалисты Angara MTDR рекомендуют пользователям исключить установку файлов APK со сторонних сайтов и скачивать приложения только из официальных магазинов, таких как Google Play Market и RuStore. Также не следует предоставлять приложениям излишние права и поддаваться на обманные уведомления с просьбами «донастроить» программное обеспечение. Для дополнительной защиты необходимо установить антивирус для мобильных устройств и регулярно обновлять его базы.