МВД России сообщило о выявлении новой угрозы для пользователей Android. Речь идёт о вредоносной программе Drama RAT, которая относится к инструментам удалённого управления устройством. По данным управления по организации борьбы с противоправным использованием информационно-коммуникационных технологий МВД, такой троян может похищать личную информацию, получать доступ к банковским приложениям и даже полностью блокировать смартфон владельца.
В ведомстве пояснили, что злоумышленники распространяют Drama RAT через мессенджеры, SMS и электронную почту. Пользователям могут предлагать бесплатный доступ к ChatGPT, «Яндекс Музыке», новый VPN-сервис или модификации для Minecraft. В других случаях вредоносные файлы маскируются под деловые документы с названиями вроде «Декларация» или «Счёт на оплату», чтобы вызвать доверие у получателя и заставить его открыть вложение.
После установки приложение предлагает разрешить обновление, но на самом деле в этот момент в фоновом режиме загружает основную вредоносную часть. Затем программа запрашивает доступ к Службе специальных возможностей Android. Если пользователь соглашается, троян получает возможность считывать содержимое экрана, перехватывать пароли, отслеживать действия владельца и имитировать нажатия. Следующим шагом вредоносное приложение может потребовать установить PIN-код, что позволяет преступникам заблокировать устройство и лишить пользователя доступа к нему.
Особенность Drama RAT заключается в том, что его ключевой компонент скрыт в зашифрованной библиотеке, которая разворачивается только в оперативной памяти. Из-за этого обычный статический анализ APK-файла может не обнаружить угрозу. Для связи с управляющим сервером используется взаимная аутентификация: сервер проверяет уникальный сертификат клиента, встроенный в библиотеку, поэтому перехват и анализ такого трафика стандартными средствами затруднён.
В МВД рекомендуют устанавливать приложения только из официальных магазинов, внимательно проверять запрашиваемые разрешения и не предоставлять неизвестным программам доступ к Службе специальных возможностей. Дополнительной мерой защиты может стать мобильный антивирус. Особенно осторожно стоит относиться к файлам и ссылкам, которые приходят от незнакомых отправителей или обещают бесплатный доступ к платным сервисам.
Если устройство уже заражено, специалисты не советуют удалять приложение обычным способом через настройки: встроенная функция Anti Uninstall может заблокировать такую попытку. В этом случае рекомендуется загрузить смартфон в безопасном режиме, выполнить сброс до заводских настроек, а затем с другого, незаражённого устройства сменить пароли от банковских сервисов, почты и мессенджеров. Также стоит заблокировать банковские карты, обратиться в банк для проверки операций и подать заявление в правоохранительные органы о киберпреступлении.