Опасный вирус Drama RAT маскируется под «бесплатные» ChatGPT и VPN

Управление по борьбе с киберпреступностью МВД России обнаружило новый вирус для Android — Drama RAT. Вредонос ворует данные, добирается до банковских приложений и может полностью заблокировать смартфон. Он распространяется через мессенджеры, СМС и электронную почту.

Жертвам обещают бесплатный доступ к ChatGPT или «Яндекс Музыке», новый VPN, моды для Minecraft. В ход идут и файлы с безобидными названиями «Декларация» или «Счёт на оплату». Как только человек устанавливает приложение, оно просит разрешить обновление и в фоне загружает вредоносную часть.

После этого вирус запрашивает доступ к Службе специальных возможностей. Если пользователь соглашается, троян получает право читать всё, что происходит на экране, перехватывать пароли и имитировать касания. Дальше программа требует установить PIN-код — так злоумышленник получает ключ, чтобы запереть смартфон от самого владельца.

Технически Drama RAT устроен хитро. Его библиотека зашифрована и разворачивается только в оперативной памяти, поэтому обычная проверка APK-файла угрозу не видит. Связь с управляющим сервером защищена взаимной аутентификацией — сервер проверяет уникальный сертификат, вшитый в код, и перехватить трафик простыми средствами почти невозможно.

На панели администратора у злоумышленника отображается всё: IP-адрес, геолокация, версия Android, уровень заряда батареи и даже то, какое приложение сейчас открыто у жертвы. 

Почему это важно

Сотрудники, которые пользуются рабочими чатами в мессенджерах и открывают файлы на ходу, могут случайно открыть доступ к корпоративной переписке и клиентским базам. Один неосторожный клик по «счёту на оплату» способен скомпрометировать устройство целиком.

Источник: УБК МВД России