УБК МВД России предупредило о распространении нового вредоносного ПО для Android-устройств.
Троян Drama RAT маскируется под полезные сервисы и файлы, после установки получает расширенный доступ к смартфону и может использоваться для кражи данных, управления банковскими приложениями и блокировки устройства.
По данным киберполиции, злоумышленники распространяют Drama RAT через мессенджеры, SMS и электронную почту. В качестве приманки пользователям предлагают бесплатный доступ к ChatGPT или «Яндекс Музыке», новый VPN-сервис, модификации для Minecraft, а также файлы с названиями вроде «Декларация» или «Счет на оплату».
Сценарий заражения построен на последовательной выдаче разрешений. После установки приложение просит разрешить обновление, чтобы в фоновом режиме загрузить основную вредоносную часть. Затем оно запрашивает доступ к Службе специальных возможностей Android. Если пользователь соглашается, троян получает возможность читать содержимое экрана, перехватывать пароли и имитировать касания.
Еще один риск связан с блокировкой устройства. После получения нужных разрешений вредоносное приложение может потребовать установить PIN-код. Это дает злоумышленникам возможность заблокировать смартфон для владельца и использовать контроль над устройством в мошеннических схемах.
Техническая особенность Drama RAT — зашифрованная библиотека, которая разворачивается только в оперативной памяти. Из-за этого статический анализ APK-файла может не обнаружить угрозу. Для связи с управляющим сервером используется взаимная аутентификация. Сервер проверяет уникальный сертификат клиента, встроенный в библиотеку, поэтому перехватить такой трафик стандартными средствами сложно.
Пользователям рекомендуют не устанавливать APK-файлы из мессенджеров, SMS и почты, даже если они выглядят как документы или обновления популярных сервисов. Отдельно стоит проверять приложения, которые запрашивают доступ к Службе специальных возможностей. Для обычного музыкального сервиса, VPN, игрового мода или файла с документом такое разрешение не требуется.
Если приложение уже установлено и смартфон ведет себя подозрительно, безопаснее не входить с него в банковские сервисы и рабочие аккаунты. Пароли лучше менять с другого устройства, а сам смартфон проверить защитным ПО или перевести в безопасный режим и удалить подозрительные приложения. Облако vs On-premises: что предпочесть сегодня? Цифровой суверенитет на экспорт Кибератака приходит к правлению
Источник: www.it-world.ru