В киберполиции пояснили, что это инструмент удаленного контроля, «который крадет данные, управляет банками и может полностью заблокировать устройство».
Фото bolshoyvopros.ruРаспространение нового ПО злоумышленники ведут в мессенджерах, через SMS и по электронной почте. Жертве обещают якобы бесплатный доступ к ChatGPT или «Яндекс.Музыке», новый VPN или моды для Minecraft. Также идет рассылка файлов с названиями вроде «Декларация» и «Счет на оплату».
После того как ПО попадает на устройство и его устанавливают, программа запрашивает разрешение на обновления. Таким способом оно в фоновом режиме загружает основную вредоносную часть. Следом ПО просит доступ к Службе специальных возможностей. Если пользователь нажимает «ОК», то таким образом фактически разрешит трояну «читать» экран, перехватывать пароли и даже имитировать касания.
«Основа Drama RAT — зашифрованная библиотека, которая разворачивается только в оперативной памяти, поэтому статический анализ APK не выявляет угрозу. Для связи с сервером используется взаимная аутентификация: сервер проверяет уникальный сертификат клиента, встроенный в библиотеку. Перехватить такой трафик стандартными средствами крайне сложно», — предупреждают в киберполиции.
- не пытаться удалить приложение через обычные настройки — функция Anti Uninstall заблокирует эту операцию;
- перейти в режим Safe Mode (удерживайте кнопку питания, затем долго жмите «Выключить») — в безопасном режиме сторонние приложения не запускаются;
- сбросить устройство до заводских настроек через Recovery Mode (комбинация кнопок Power + Volume Down при включении);
- сменить все пароли от банковских аккаунтов, почты и мессенджеров с другого, не зараженного вредоносным ПО устройства;
- заблокировать банковские карты и обратиться в банк для проверки операций;
- обратиться в полицию с заявлением о киберпреступлении.
В числе рекомендаций, как избежать заражения Drama RAT, киберполиция называет следующие:
- устанавливать приложения только из официальных источников;
- внимательно читать запросы разрешений: если приложение для просмотра PDF просит доступ к спецвозможностям, камере и микрофону — это явный признак вредоносного ПО;
- не включать Accessibility Service для незнакомых приложений, так как это разрешение дает полный контроль над устройством;
- обращать внимание на иконки и названия, так как вредоносное ПО часто маскируется под системные приложения или популярные сервисы;
- использовать мобильный антивирус;
- регулярно проверять список активных Accessibility Service в настройках устройства.
