Мошенники активизировали атаки на владельцев Android-устройств с помощью нового вредоносного программного обеспечения, способного красть конфиденциальные данные и блокировать смартфоны.
Об этом сообщили в управлении по организации борьбы с противоправным использованием информационно-коммуникационных технологий МВД РФ.
Специалисты ведомства выявили новый тип угрозы, обозначенный как Drama RAT, который представляет собой инструмент удаленного контроля.
"УБК МВД России выявлена новая угроза для Android — вредоносное программное обеспечение Drama RAT. Это инструмент удаленного контроля, который крадет данные, управляет банками и может полностью заблокировать устройство", — говорится в официальном канале ведомства.
В отличие от традиционных вирусов, этот троян использует сложную схему маскировки и многоступенчатую активацию.
Как злоумышленники внедряют вирус на смартфон
Правоохранители раскрыли механизм распространения опасного ПО. Злоумышленники рассылают вредоносные файлы через мессенджеры, смс и электронную почту, соблазняя жертв обещаниями бесплатного доступа к ChatGPT и "Яндекс.Музыке", а также другим приложениям. Кроме того, аферисты маскируют программу под документы с названиями "Декларация" и "Счет на оплату".
"После установки приложение просит разрешить обновление — так оно в фоне загружает основную вредоносную часть. Затем запрашивается доступ к Службе специальных возможностей. Пользователь нажимает 'ОК' и разрешает трояну читать экран, перехватывать пароли и даже имитировать касания. Дальше приложение требует установить PIN-код, чтобы злоумышленник мог заблокировать смартфон для владельца", — добавили в МВД.
Почему антивирусы не распознают угрозу
По данным правоохранителей, главная опасность Drama RAT заключается в его архитектуре. Программа представляет собой зашифрованную библиотеку, поэтому стандартная проверка файла на вирусы не выявляет угрозу. Только после того, как пользователь предоставляет все запрашиваемые разрешения, приложение загружает основную вредоносную часть. В ведомстве уточнили, что удаленный доступ мошенники получают через сервер, который проверяет уникальный сертификат клиента, встроенный в приложение. Таким образом, атакующий может не только читать все вводимые данные, но и имитировать касания экрана, что открывает полный доступ к банковским приложениям и личной переписке.
