Пресс-релизы // » Добавить пресс-релиз

«ГИГАНТ — Компьютерные системы» о том, почему Drama RAT опасен не только для банковских счетов

Эксперт «ГИГАНТ — Компьютерные системы» объяснил, как Drama RAT получает контроль над смартфоном, почему его сложно обнаружить статическим анализом и чем заражение личного телефона может угрожать компании
МВД России сообщило о новом Android-трояне Drama RAT. Вредоносное ПО распространяется через мессенджеры, SMS и электронную почту, маскируется под бесплатный доступ к популярным сервисам, VPN-приложения, файлы с документами и другие привычные для пользователя сценарии.
Главная опасность Drama RAT в том, что это не просто инструмент для кражи SMS-кодов или паролей. После заражения троян может получить удаленный контроль над устройством, перехватывать действия пользователя, вмешиваться в работу банковских приложений и блокировать смартфон. Для бизнеса такой сценарий тоже опасен: личный телефон сотрудника часто связан с корпоративной почтой, мессенджерами, VPN-клиентами и облачными сервисами.
О том, чем Drama RAT отличается от обычных Android-троянов, почему его труднее выявлять стандартными методами и какие признаки компрометации стоит отслеживать, мы поговорили с Алексеем Колодкой, директором по работе с государственными заказчиками компании «ГИГАНТ — Компьютерные системы».
— Алексей, начнем с главного: Drama RAT выглядит как очередной Android-троян или это действительно более опасная история? Как в «ГИГАНТ — Компьютерные системы» оценивают эту угрозу?
Drama RAT относится к категории наиболее опасных Android-троянов. Его возможности выходят далеко за рамки классической кражи данных или перехвата SMS-кодов. По сути, после заражения он получает практически полный контроль над устройством пользователя.
Вредоносная программа способна перехватывать данные банковских приложений, получать логины и пароли, управлять устройством удаленно и выполнять действия от имени владельца смартфона. Это уже не просто «украли код из SMS». Это сценарий, при котором злоумышленник может действовать внутри устройства как сам пользователь.
— То есть опасность не только в том, что человек потеряет пароль или банковский код, а в том, что он может потерять контроль над самим смартфоном?
Да. Особую опасность представляет возможность запрашивать и изменять PIN-код устройства. В результате злоумышленник не только получает доступ к данным пользователя, но и может фактически лишить его контроля над собственным смартфоном.
Это резко повышает давление на жертву. Человек теряет доступ к устройству, через которое у него может быть привязана почта, банк, мессенджеры, двухфакторная аутентификация, облачные сервисы и рабочие коммуникации.
— Многие воспринимают заражение телефона как локальную проблему: неприятно, но касается одного устройства. В случае Drama RAT это не так?
Не совсем так. Дополнительные риски связаны с учетной записью Google. Если злоумышленникам удается получить доступ к аккаунту, последствия выходят далеко за пределы одного смартфона.
Под угрозой могут оказаться резервные копии, почта, облачные сервисы, связанные учетные записи и другие устройства, где используется тот же аккаунт. Поэтому заражение смартфона может быстро превратиться в более широкий инцидент.
— МВД отдельно отмечает, что вредоносный код разворачивается только в оперативной памяти и плохо обнаруживается статическим анализом. Почему это так усложняет защиту?
Это существенно усложняет обнаружение угрозы. Основная функциональность Drama RAT скрыта в зашифрованных компонентах и разворачивается непосредственно в оперативной памяти устройства уже после запуска вредоносного приложения.
Большинство традиционных средств защиты в первую очередь анализируют APK-файл до его выполнения. Если вредоносная нагрузка скрыта и активируется только в памяти, стандартные механизмы статического анализа могут не увидеть признаки заражения.
— То есть на этапе проверки файл может выглядеть относительно чистым, а настоящая вредоносная часть проявляется уже после запуска?
Именно. В этом и проблема. Такая вредоносная активность может слабо проявляться на уровне файловой системы. Для ее выявления нужно смотреть не только на сам файл, но и на поведение приложения после запуска.
Нужен поведенческий анализ, мониторинг процессов, контроль подозрительных запросов к системным функциям и анализ сетевой активности уже во время работы устройства. Для специалистов по ИБ это означает переход от классического анализа файлов к более сложным методам динамического анализа.
— Получается, защите приходится отвечать не на вопрос «что лежит в APK», а на вопрос «что приложение делает после установки»?
Да. Для таких угроз статическая проверка уже недостаточна. Важны действия приложения: какие разрешения оно запрашивает, какие сервисы запускает, с какими узлами взаимодействует, пытается ли управлять интерфейсом, имитировать действия пользователя или обращаться к чувствительным данным.
Именно поведение становится ключевым признаком. Особенно если вредоносная логика загружается, расшифровывается или активируется уже в оперативной памяти.
— Обычно такие трояны обсуждают в контексте финансового мошенничества. Но может ли Drama RAT использоваться не только против частных пользователей, но и против сотрудников компаний?
Безусловно. Сегодня смартфон сотрудника часто является полноценной частью корпоративной инфраструктуры. На нем используются корпоративная почта, мессенджеры, VPN-клиенты, системы согласования документов, облачные хранилища и другие бизнес-приложения.
Если устройство заражается Drama RAT, злоумышленники могут получить не только личные данные пользователя, но и корпоративные учетные данные. Это открывает путь к почте сотрудника, внутренним информационным системам или облачным сервисам компании.
— То есть личный телефон может стать входной точкой в корпоративный контур?
Да. Особенно если на нем есть рабочая почта, мессенджеры, доступ к корпоративным документам или коды подтверждения. Получив доступ к учетной записи сотрудника, злоумышленники могут проводить фишинговые рассылки от его имени, собирать конфиденциальную информацию и готовить дальнейшее развитие атаки.
Такие инциденты нередко начинаются с одного устройства, но затем превращаются в более масштабную компрометацию. Поэтому Drama RAT нужно рассматривать не только как инструмент финансового мошенничества, но и как потенциальный инструмент корпоративного шпионажа.
— Это важный сдвиг: мобильный троян перестает быть проблемой только пользователя и становится риском для работодателя.
Да. Смартфон давно перестал быть личным устройством в чистом виде. В реальной жизни он связан с рабочими процессами. Поэтому заражение телефона сотрудника может дать злоумышленнику контекст: переписку, контакты, документы, доступы, темы проектов, имена коллег и руководителей.
Этого уже достаточно, чтобы усилить социальную инженерию и сделать последующие атаки более убедительными.
— Какие признаки заражения Drama RAT уже можно использовать для настройки мониторинга и ретроспективного анализа?
Один из наиболее заметных признаков - нетипичные запросы на предоставление расширенных разрешений. После установки приложение может инициировать запрос доступа к службам специальных возможностей, Accessibility Services.
Именно через этот механизм злоумышленники получают возможность перехватывать действия пользователя на экране и управлять устройством. Поэтому любые неожиданные запросы таких прав со стороны приложений, которые не связаны с системными функциями, должны вызывать подозрение.
— То есть если условное приложение с музыкой, VPN или документом просит доступ к специальным возможностям, это уже красный флаг?
Да. Поводом для проверки должны стать ситуации, когда приложение запрашивает доступ к специальным возможностям, возможность отображения поверх других окон, удаленное управление устройством или доступ к чувствительным данным, хотя по своей заявленной функции оно в этом не нуждается.
Также нужно обращать внимание на аномальную активность после установки обновлений, появление неизвестных фоновых процессов, нехарактерные сетевые соединения и попытки взаимодействия с банковскими приложениями или корпоративными сервисами.
— А что из этого полезно именно для IDS/IPS и систем мониторинга?
Для IDS/IPS и систем мониторинга полезно отслеживать факты предоставления приложению прав Accessibility Services, запуск подозрительных сервисов удаленного управления, а также любые попытки автоматизированного взаимодействия с пользовательским интерфейсом устройства.
Такие поведенческие признаки часто помогают обнаружить угрозу раньше, чем появляются полноценные сигнатуры для антивирусных решений. Особенно в случаях, когда вредоносная нагрузка скрыта, зашифрована и разворачивается уже в памяти.
— Но обычный пользователь вряд ли будет анализировать процессы и сетевую активность. Что ему важно понять на практическом уровне?
Главное - не устанавливать приложения из непроверенных источников и внимательно относиться к разрешениям. Если приложение обещает бесплатный доступ к популярному сервису, VPN или файлу, но просит доступ к специальным возможностям, управлению экраном, отображению поверх других окон или изменению PIN-кода, это должно остановить пользователя.
Также важно помнить: Android-приложение не должно получать расширенные права просто потому, что «так нужно для обновления». Если после установки приложение начинает запрашивать нетипичные разрешения, лучше прекратить работу с ним и проверить устройство.
— А что, по оценке «ГИГАНТ — Компьютерные системы», должны делать компании, если сотрудники используют личные Android-смартфоны для рабочих задач?
Компаниям нужно относиться к мобильным устройствам как к части поверхности атаки. Если сотрудники используют личные смартфоны для почты, мессенджеров, VPN или корпоративных сервисов, такие устройства должны попадать в контур базовой политики безопасности.
Минимум - многофакторная аутентификация, ограничение доступа по ролям, контроль подозрительных входов, обучение сотрудников, запрет установки приложений из непроверенных источников для рабочих устройств и понятный порядок действий при подозрении на заражение.
— То есть главный вывод по Drama RAT не в том, что появился еще один вирус, а в том, что мобильные устройства становятся полноценной точкой корпоративного риска?
Именно. Drama RAT показывает, что Android-трояны развиваются в сторону полного удаленного контроля над устройством. Если смартфон связан только с личными сервисами, ущерб уже может быть серьезным. Если он связан с корпоративной почтой, мессенджерами, VPN и облаками, риск становится значительно шире.
Поэтому такие угрозы нужно оценивать не только как проблему пользователя, но и как часть общей стратегии защиты учетных записей, мобильного доступа и корпоративных данных.
— Если завершить практично: какие три сигнала, по мнению «ГИГАНТ — Компьютерные системы», должны насторожить пользователя или ИБ-команду в первую очередь?
Первый сигнал - приложение из непроверенного источника, особенно если оно маскируется под популярный сервис, VPN, музыку, игру или документ. Второй - запрос доступа к службам специальных возможностей, отображению поверх окон, удаленному управлению или изменению PIN-кода. Третий - странное поведение после установки: фоновые процессы, необычная сетевая активность, попытки взаимодействия с банковскими или корпоративными приложениями.
Если эти признаки появляются вместе, устройство нужно считать потенциально скомпрометированным и проверять уже не как обычный пользовательский смартфон, а как возможную точку входа в более широкий инцидент.

Контактное лицо: ГИГАНТ
Компания: ГИГАНТ
Добавлен: 15:57, 20.06.2026 Количество просмотров: 762
Страна: Россия


МегаФон обеспечит 4G-покрытие в малочисленных деревнях Кировской области, МегаФон, 02:59, 07.07.2026, Россия426
Впервые более тысячи жителей Кировской области смогут воспользоваться мобильной связью и 4G-интернетом.


Югорчане вошли в топ-10 главных ценителей киноновинок в стране, МегаФон, 03:00, 07.07.2026, Россия426
Жители Ханты-Мансийского автономного округа стали чаще смотреть новинки в онлайн-кинотеатрах.


От центра Брянска до Белых Берегов — МегаФон обновил оборудование в регионе, МегаФон, 03:00, 07.07.2026, Россия418
Инженеры МегаФона модернизировали телеком-оборудование в важнейших локациях Брянской области, где в общей сложности насчитывается более 200 тысяч жителей. Благодаря техническим мероприятиям брянцам и гостям города стал доступен мобильный интернет на скорости до 60 Мбит⁄с и более уверенный приём сигнала голосовой связи.


На круглогодичном курорте «Телецкий» МегаФон ускорил интернет, МегаФон, 03:00, 07.07.2026, Россия419
Мобильный интернет на скорости до 100 Мбит/с стал доступен абонентам МегаФона на всесезонном курорте «Телецкий». Оператор запустил базовую станцию у подножия горы Кокуя, чтобы гости комплекса могли делиться с близкими яркими эмоциями в режиме реального времени: записывать сторис, выкладывать фото и звонить по видеосвязи.


В Тюмени главными ценителями онлайн-кино стали мужчины 30-40 лет, МегаФон, 03:00, 07.07.2026, Россия418
Жители Тюменской области стали чаще смотреть видеоконтент со своих смартфонов и планшетов. С начала года трафик на популярные ресурсы, где можно познакомиться с фильмами, сериалами и мультипликационными картинами, увеличился более чем в 5 раз. Такой всплеск интереса зафиксировали специалисты МегаФона на основе анализа обезличенных данных абонентов.


Дачникам Якутска повысили скорости мобильного интернета, МегаФон, 03:01, 07.07.2026, Россия422
Более высокие скорости мобильного интернета и устойчивая связь теперь доступны садоводам Якутска. Техническая служба МегаФона запустила дополнительное телеком-оборудование рядом с дачными товариществами в микрорайоне Марха и Гагаринском округе, усилив сеть и расширив покрытие 4G.


MWS AI выложила «универсальный фильтр» для больших языковых моделей в открытый доступ, MWS AI, 03:01, 07.07.2026, Россия416
Программа-посредник экономит до 10 дней на переобучении модели и доступна в репозитории GitHub.


«ИНКА 4.0» представила подход к созданию полностью автоматического производства, Инка, 03:01, 07.07.2026, Россия429
24 июля прошла сессия Межотраслевого комитета по MES, посвященная двустороннему обмену информацией между системами управления производством и системами автоматизации технологических процессов (АСУ ТП).


Отсутствие современных HR-сервисов осложняет компаниям привлечение сотрудников – опрос, HRlink, 03:00, 07.07.2026, Россия415
HeadHunter и компания-разработчик сервиса кадрового ЭДО HRlink провели исследование ожиданий соискателей относительно цифровизации HR-процессов.


«Маркетологи, подвиньтесь»: видео с учеником KIBERone стремительно набирает популярность в соцсетях, KIBERone - международная школа программирования для детей 6-14 лет, 02:54, 07.07.2026, Россия458
«Я сделал для вас сайт». Школьник пришел в кафе с неожиданным предложением – и ушел с первой коммерческой сделкой. Пока взрослые спорят, заменит ли искусственный интеллект программистов, ученики уже начинают работать на настоящих клиентов.


«Группа Астра» спускает на воду Боцман AI: искусственный интеллект теперь работает под флагом корпоративной безопасности, "Группа Астра", 02:53, 07.07.2026, Россия424
Новая платформа открывает бизнесу возможность пользоваться современными ИИ-моделями в собственном корпоративном контуре, соблюдая при этом все регуляторные требования и нормы информационной безопасности.


«НЭК ТЕХ» провёл семинар по «умному» учёту электроэнергии для «Россети Новосибирск», ООО «НЭК ТЕХ», 02:52, 07.07.2026, Россия414
Специалисты научно-технического центра «НЭК ТЕХ» провели практический семинар для сотрудников «Россети Новосибирск» по работе с интеллектуальными системами учёта электроэнергии «НАРТИС».


UDV Group представила систему анализа сетевого трафика UDV NTA на «РосИнфоБез», UDV Group, 02:51, 07.07.2026, Россия414
Российский разработчик UDV Group принял участие в III отраслевой конференции «РосИнфоБез», где представил систему анализа сетевого трафика UDV NTA. Решение помогает SOC-командам повышать видимость сети, выявлять скрытые угрозы и быстрее расследовать инциденты информационной безопасности.


Зумруд Мирзаева - блогер, спонсирующий ВСУ, Иннотех, 02:51, 07.07.2026, Россия461
Зумруд Мирзаева — российская безработная («кулинарный блогер»), связанная с навязчивым агрессивным самопиаром. Даёт себе следующую характеристику: «блогер, писательница, фуд блогер, повар». Отмечена в размещении рекламных публикаций в рамках обеления своей репутации. Сотрудничает с украинскими пиарщиками, которые признаются в финансировании ВСУ.


«Группа Астра» выпустила платформу Astra Cloud 2.1: расширенный контроль над облачной средой, "Группа Астра", 02:51, 07.07.2026, Россия425
«Группа Астра» представила Astra Cloud Platform (ACP) 2.1, обновленную версию платформы для создания частных и публичных облаков. В релиз включены значимые улучшения, основанные на обратной связи от партнеров и заказчиков.


  © 2003-2026 inthepress.ru