МВД предупредило россиян о новом Android-трояне, который маскируется под моды для Minecraft и бесплатный ChatGPT

Мошенники начали распространять опасный вирус Drama RAT под видом популярных приложений, игровых модификаций и полезных сервисов. Программа похищает личные данные пользователей, получает доступ к банковским приложениям и блокирует устройство. О новой угрозе РАПСИ сообщили в Управлении по организации борьбы с противоправным использованием информационно-коммуникационных технологий МВД России.

Основными каналами распространения вредоносного ПО стали мессенджеры, SMS-сообщения и электронная почта. Потенциальным жертвам предлагают бесплатно получить доступ к ChatGPT, Яндекс Музыке, новым VPN-сервисам или загрузить модификации для Minecraft. Подобные предложения рассчитаны на широкую аудиторию, прежде всего на подростков и пользователей, готовых обойти платные подписки.

Злоумышленники активно используют деловую тематику, рассылая файлы с правдоподобными названиями вроде «Декларация» или «Счёт на оплату». Получатель решает, что открывает обычный рабочий документ, а фактически запускает установку вредоносного приложения. После запуска программа выглядит безобидно и предлагает установить очередное обновление. В фоновом режиме при этом загружается основной модуль трояна, выполняющий вредоносные действия.

Следующим этапом становится запрос доступа к службе специальных возможностей Android. Подобные разрешения применяются легальными приложениями для повышения удобства работы, а в руках преступников превращаются в мощный инструмент контроля над устройством.

Drama RAT использует следующие приманки для жертв:

• бесплатный доступ к ChatGPT и другим нейросетевым сервисам;
• предложения подписки на Яндекс Музыку без оплаты;
• новые VPN-сервисы для обхода блокировок;
• модификации и читы для Minecraft;
• файлы с названиями «Декларация» или «Счёт на оплату» в деловой переписке.

Получив доступ к специальным возможностям, троян считывает информацию с экрана смартфона, перехватывает вводимые пароли, отслеживает действия пользователя и имитирует его работу с приложениями. Преступники взаимодействуют с банковскими сервисами и другими значимыми программами практически от имени владельца устройства.

Вредоносное приложение запрашивает установку PIN-кода. При согласии пользователя злоумышленники получают возможность изменить параметры блокировки и фактически лишают владельца доступа к собственному смартфону. Подобный сценарий превращает устройство в полностью контролируемое преступниками средство.

Техническое устройство Drama RAT отличается рядом особенностей:

• основная часть программы представляет собой зашифрованную библиотеку;
• библиотека разворачивается исключительно в оперативной памяти устройства;
• стандартная проверка APK-файла часто не обнаруживает скрытую угрозу;
• при сетевом подключении используется взаимная аутентификация;
• управляющий сервер проверяет встроенный сертификат клиента.

Подобная архитектура значительно затрудняет перехват и анализ сетевого трафика специалистами по информационной безопасности. Стандартные антивирусные решения далеко не всегда справляются с обнаружением Drama RAT из-за его работы преимущественно в оперативной памяти.

Эксперты дают пользователям следующие рекомендации:

• устанавливать приложения только из официальных магазинов;
• не открывать файлы от неизвестных отправителей;
• скептически относиться к предложениям бесплатно получить платные сервисы;
• проверять список разрешений у каждого нового приложения;
• настораживаться при запросах доступа к специальным возможностям Android.

Запрос доступа к службе специальных возможностей сразу после установки приложения должен вызывать особую настороженность. Подобный механизм всё активнее используется современными банковскими троянами для обхода защитных мер операционной системы и получения полного контроля над устройством пользователя.