Мошенники нашли способ обойти стандартную защиту Android: новый вредонос Drama RAT не оставляет следов в файловой системе, шифрует свой код и проверяет, не пытается ли кто-то его отладить. Управление по борьбе с киберпреступностью МВД России зафиксировало распространение этой программы удалённого доступа. Злоумышленники рассылают её под видом бесплатного доступа к ChatGPT, «Яндекс.Музыке», VPN или модов для Minecraft, а также под маской документов вроде «Декларация» или «Счёт на оплату». После установки троян запрашивает доступ к специальным возможностям смартфона, заставляя жертву нажать «ОК». В итоге злоумышленник получает полный контроль над устройством: может читать экран, перехватывать пароли, включать камеру и микрофон, управлять банковскими приложениями и даже заблокировать телефон владельцу. Эксперты рекомендуют устанавливать приложения только из официальных магазинов, не давать подозрительным программам доступ к Accessibility Service и использовать антивирус.
УБК МВД России сообщает о новой угрозе для пользователей Android — вредоносном программном обеспечении Drama RAT. Это полноценный инструмент удалённого доступа (RAT), который способен похищать конфиденциальные данные, управлять банковскими приложениями и полностью блокировать устройство.
Распространение строится на классической социальной инженерии. Жертва получает фишинговое сообщение в мессенджере, SMS или по электронной почте. Злоумышленники предлагают привлекательный контент: бесплатный доступ к «Яндекс.Музыке», ChatGPT, VPN, а также моды для популярных игр. В ход идут файлы с интригующими названиями вроде «Фотоальбом», «Декларация» или «Счёт на оплату».
После запуска приложение показывает окно с требованием обновления. Это психологический трюк: жертва не закрывает программу, а позволяет ей в фоновом режиме загрузить с командного сервера основной вредоносный этап.
Следующий критический момент — запрос доступа к службе специальных возможностей (Accessibility Service). Интерфейс успокаивает: «Обычно это занимает не больше 10 секунд». Нажимая «Открыть настройки» и затем «ОК», пользователь неосознанно даёт вредоносу колоссальные права: отслеживать все действия, читать содержимое экрана, перехватывать набираемый текст (включая пароли и номера карт) и даже имитировать касания и свайпы.
Затем троян требует установить PIN-код блокировки экрана. Это нужно, чтобы злоумышленник мог удалённо разблокировать устройство, войти в банковское приложение и, при необходимости, заблокировать доступ самому владельцу.
Drama RAT превращает смартфон в полностью управляемого «зомби». На панели администратора в реальном времени отображается геолокация, версия Android, уровень заряда, датчики освещённости, а также то, какое приложение открыто на экране жертвы. Злоумышленник видит, пользуетесь ли вы банком, мессенджером или почтой.
Функционал трояна позволяет перехватывать SMS, звонки и контакты, удалённо включать камеру и микрофон, читать всё, что отображается на экране, блокировать доступ к настройкам и шторке уведомлений, запрещать установку или удаление любых приложений, отключать Google Play Market и предотвращать сброс к заводским настройкам.
Главная особенность этого вредоноса — его нативная библиотека, которая хранится в зашифрованном виде и расшифровывается только во время выполнения в оперативной памяти. Все критически важные компоненты лежат внутри этой библиотеки в зашифрованном виде, поэтому статический анализ APK-файла не выявляет угрозу.
Для связи с командным сервером используется взаимная TLS-аутентификация (mTLS). Вредонос не просто проверяет сертификат сервера — сервер тоже проверяет уникальный сертификат клиента, встроенный в библиотеку. Без извлечения этого сертификата невозможно перехватить трафик через стандартные инструменты для анализа. Дополнительно применяется привязка к конкретному сертификату сервера (SSL Certificate Pinning), что полностью блокирует атаки «человек посередине».
Инфраструктура многоуровневая и отказоустойчивая. Основной домен маскируется под легитимный развлекательный сервис, используются несколько CDN-провайдеров с динамически генерируемыми именами. Если все CDN-узлы заблокированы, дроппер переключается на жёстко зашитый в коде прямой IP-адрес — связь сохраняется в любых условиях. Вредонос загружает второй этап фрагментами с разных CDN, расшифровывает его в памяти и запускает бесфайлово — без сохранения на диск. Это делает классическое сигнатурное обнаружение бесполезным. Кроме того, библиотека проверяет среду выполнения: ищет порты отладки, эмуляторы и отладочные флаги. При обнаружении анализа возвращаются поддельные данные, а реальный командный сервер остаётся скрытым.
Рекомендации по защите просты, но критически важны. Устанавливайте приложения только из официального магазина — он проводит базовую проверку на вредоносный код. Внимательно читайте запросы разрешений: если приложение для просмотра PDF просит доступ к специальным возможностям, камере и микрофону, это явный признак вредоноса. Ни в коем случае не включайте Accessibility Service для незнакомых программ — это даёт полный контроль над устройством. Используйте мобильный антивирус от проверенных вендоров. Регулярно проверяйте список активных служб специальных возможностей в настройках.
Если вы подозреваете заражение, не пытайтесь удалить приложение через обычные настройки — функция Anti Uninstall заблокирует эту операцию. Загрузитесь в безопасном режиме, сбросьте устройство до заводских настроек через Recovery Mode. После этого смените все пароли от банковских аккаунтов, почты и мессенджеров с другого, незаражённого устройства. Заблокируйте банковские карты и обратитесь в банк. И обязательно подайте заявление о киберпреступлении в правоохранительные органы.
