Управление по организации борьбы с противоправным использованием информационно-коммуникационных технологий МВД России заявило о выявлении новой киберугрозы для устройств на базе Android.
Под видом бесплатного ChatGPT и VPN: как новый вирус превращает смартфоны в «зомби»
Мошенники начали массово распространять троян, маскирующийся под подписки на нейросети, музыкальные сервисы и игровые моды.
Unsplash
Речь идет о вредоносном программном обеспечении Drama RAT, которое представляет собой инструмент удаленного контроля, предназначенный для хищения персональных данных и получения доступа к финансовым инструментам пользователей.
По данным ведомства, этот троян обладает функционалом для полной блокировки смартфона и перехвата управления в реальном времени.
Распространение вредоноса организовано через мессенджеры, SMS-сообщения и электронную почту. В качестве приманок злоумышленники используют предложения о бесплатном доступе к популярным сервисам и контенту. Пользователям предлагают загрузить клиенты для работы с нейросетью ChatGPT, сервисом «Яндекс Музыка» или актуальные версии VPN-приложений.
Также были обнаружены рассылки с модификациями для игры Minecraft и файлы, замаскированные под официальную документацию, например, «Счет на оплату» или «Декларация».
Технический алгоритм заражения начинается сразу после установки приложения. Программа запрашивает у пользователя разрешение на проведение обновления, под видом которого в фоновом режиме загружается основная вредоносная часть кода. Далее троян запрашивает доступ к «Службе специальных возможностей» Android.
Как только разрешение получено, Drama RAT активирует функции чтения содержимого экрана и перехвата вводимых данных, включая пароли и банковские реквизиты. Особенностью программы является способность имитировать касания экрана, что позволяет вирусу совершать действия от имени владельца.
На заключительном этапе приложение требует установить PIN-код. Выполнение этого требования позволяет злоумышленникам дистанционно заблокировать смартфон, после чего устройство становится неработоспособным, а владельцу предъявляются требования о выкупе.
С точки зрения архитектуры Drama RAT использует методы обхода антивирусной защиты. Основным компонентом является зашифрованная библиотека, которая разворачивается исключительно в оперативной памяти устройства. Это делает неэффективным статический анализ APK-файлов, так как защитные решения не находят угроз в самом установочном пакете.
Связь с управляющим сервером выстроена на базе механизма взаимной аутентификации. Сервер проверяет уникальный сертификат клиента, интегрированный в библиотеку, что исключает возможность перехвата и расшифровки сетевого трафика стандартными средствами мониторинга.
Административная панель управления трояном предоставляет злоумышленникам исчерпывающую информацию о скомпрометированном объекте. В режиме реального времени оператор видит IP-адрес устройства, его геолокацию, версию операционной системы и уровень заряда аккумулятора.
Кроме того, функционал Drama RAT позволяет отслеживать, какое именно приложение запущено на смартфоне в текущий момент, фактически превращая гаджет в полностью контролируемое дистанционно устройство