Фішингова платформа Darcula відповідальна за розкрадання 884 000 банківських карток, і жертви хакерів по всьому світу 13 млн разів перейшли за шкідливими посиланнями, отриманими через текстові повідомлення.

Таку статистику наводять аналітики NRK, Bayerischer Rundfunk, Le Monde і Mnemonic, у спільному звіті. Дослідникам вдалося виявити понад 600 операторів Darcula, а також творця й основного розповсюджувача послуг платформи.

Darcula являє собою PhaaS-платформу (phishing-as-a-service, «фішинг-як-послуга»), яка націлена на користувачів Android і iPhone більш ніж у 100 країнах світу. Кримінальний сервіс використовує 20 000 доменів, що імітують відомі бренди, з метою крадіжки облікових даних.

Фішингові повідомлення, які розсилають оператори платформи, як правило, являють собою підроблені штрафи або повідомлення про доставку посилок, що містять посилання на фішингові сайти.

Одними з перших на активність Darcula звернули увагу дослідники з компанії Netcraft у березні 2024 року. Вони зазначали, що платформа відрізняється від аналогічних хакерських сервісів тим, що використовує RCS і iMessage замість SMS-повідомлень, що робить атаки ефективнішими.

У лютому 2025 року ті самі дослідники повідомили, що Darcula зазнала значних змін і тепер дає змогу своїм операторам автоматично генерувати фішингові набори для атак на будь-який бренд. А в травні поточного року стало відомо, що фішинговий сервіс почав використовувати ШІ, і за допомогою LLM-інструментів хакери можуть створювати власні кампанії будь-якою мовою та на будь-яку тему.

У звіті NRK окремо розповідається про операторів Darcula, які генерують великі обсяги шкідливого трафіку. Наприклад, високе становище в ієрархії, пов’язаній із сервісом, посідає користувач із Таїланду під ніком x66/Kris.

Дослідники підкреслюють, що вже передали всю зібрану інформацію правоохоронним органам.