В киберполиции пояснили, что это инструмент удаленного контроля, "который крадет данные, управляет банками и может полностью заблокировать устройство".
Распространение нового ПО злоумышленники ведут в мессенджерах, через SMS и по электронной почте. Жертве обещают якобы бесплатный доступ к ChatGPT или "Яндекс.Музыке", новый VPN или моды для Minecraft. Также идет рассылка файлов с названиями вроде "Декларация" и "Счет на оплату".
После того как ПО попадает на устройство и его устанавливают, программа запрашивает разрешение на обновления. Таким способом оно в фоновом режиме загружает основную вредоносную часть. Следом ПО просит доступ к Службе специальных возможностей. Если пользователь нажимает "ОК", то таким образом фактически разрешит трояну "читать" экран, перехватывать пароли и даже имитировать касания.
Далее приложение требует установить PIN-код, чтобы мошенники могли заблокировать смартфон.
"Основа Drama RAT - зашифрованная библиотека, которая разворачивается только в оперативной памяти, поэтому статический анализ APK не выявляет угрозу. Для связи с сервером используется взаимная аутентификация: сервер проверяет уникальный сертификат клиента, встроенный в библиотеку. Перехватить такой трафик стандартными средствами крайне сложно", - предупреждают в киберполиции.
В случае если пользователь обнаружил, что его телефон заражен, следует выполнить следующие действия:
- не пытаться удалить приложение через обычные настройки - функция Anti Uninstall заблокирует эту операцию;
- перейти в режим Safe Mode (удерживайте кнопку питания, затем долго жмите "Выключить") - в безопасном режиме сторонние приложения не запускаются;
- сбросить устройство до заводских настроек через Recovery Mode (комбинация кнопок Power + Volume Down при включении);
- сменить все пароли от банковских аккаунтов, почты и мессенджеров с другого, не зараженного вредоносным ПО устройства;
- заблокировать банковские карты и обратиться в банк для проверки операций;
- обратиться в полицию с заявлением о киберпреступлении.
В числе рекомендаций, как избежать заражения Drama RAT, киберполиция называет следующие:
- устанавливать приложения только из официальных источников;
- внимательно читать запросы разрешений: если приложение для просмотра PDF просит доступ к спецвозможностям, камере и микрофону - это явный признак вредоносного ПО;
- не включать Accessibility Service для незнакомых приложений, так как это разрешение дает полный контроль над устройством;
- обращать внимание на иконки и названия, так как вредоносное ПО часто маскируется под системные приложения или популярные сервисы;
- использовать мобильный антивирус;
- регулярно проверять список активных Accessibility Service в настройках устройства.