Управление по организации борьбы с противоправным использованием информационно-коммуникационных технологий МВД России выявило новую серьёзную киберугрозу для владельцев устройств на платформе Android.
Такая информация приводится в Telegram-канале ведомства.
Речь идёт о вредоносном программном обеспечении, получившем название Drama RAT, которое представляет собой многофункциональный инструмент удалённого контроля, предназначенный для хищения конфиденциальных данных, получения несанкционированного доступа к банковским приложениям и полной блокировки заражённого устройства.
Злоумышленники распространяют троян через мессенджеры, СМС-сообщения и электронную почту, заманивая жертв обещаниями бесплатного доступа к ChatGPT или «Яндекс.Музыке», новым VPN-сервисом, модами для Minecraft, а также маскируя вредоносный файл под безобидные названия вроде «Декларация» или «Счёт на оплату». После того как пользователь устанавливает такое приложение, программа запрашивает разрешение на обновление и загружает основную вредоносную часть.
Ключевым моментом заражения становится запрос доступа к Службе специальных возможностей операционной системы. Если владелец устройства по неосторожности нажимает «ок», троян мгновенно получает широчайшие полномочия: он способен читать всё содержимое экрана, перехватывать вводимые пароли и имитировать нажатия. Вслед за этим программа требует установить новый PIN-код, чтобы впоследствии злоумышленник мог полностью заблокировать смартфон для его владельца.
Особую опасность Drama RAT представляет из-за своей технической изощрённости. В МВД пояснили, что троян использует зашифрованную библиотеку, которая разворачивается исключительно в оперативной памяти устройства, из-за чего стандартный анализ APK-файлов не способен выявить угрозу. Для связи с управляющим сервером применяется механизм взаимной аутентификации: сервер проверяет уникальный сертификат клиента, вшитый в библиотеку, что делает перехват сетевого трафика стандартными средствами чрезвычайно сложным.
В результате заражения смартфон фактически превращается в полностью подконтрольного атакующим «зомби». На панели администратора у киберпреступников в режиме реального времени отображается подробнейшая информация о жертве: IP-адрес, геолокация, версия операционной системы, уровень заряда аккумулятора и даже то, какое именно приложение в данный момент открыто на экране заражённого устройства.
