«Киберполиция предупреждает – опасность вернулась! DogeRAT – новая вредоносная программа, угрожающая устройствам на бизе Android», – говорится в предупреждении Бюро расследования киберпреступлений (ССIB).
Публикация CCIB, датирующаяся 11 июня, собрала около 500 репостов, но широкого резонанса в СМИ не вызвала. 25 июня предупреждение продублировала полиция Патонга, однако оно потерялось в массе других похожих постов, которые пользователи, как правило, игнорируют, не ожидая увидеть в них ничего нового. «Новости Пхукета» и сами не обратили на него внимания в день публикации.
Как сообщает CCIB, троян распространяется через сайты и соцсети, замаскированным под разные приложения, такие как:
- Opera Mini - fast web browser;
- Android VulnScan;
- YouTube Premium;
- Netflix Premium;
- ChatGPT;
- Lite 1 [Facebook];
- Instagram Pro.
«Этих приложений нет в Play Store, они распространяются через рекламу онлайн, в соцсетях и мессенджерах. Если вам присылают ссылку на скачивание софта по этим каналам – ни в коем случае не скачивайте!!!!» – предупредила тайская киберполиция.
О трояне DogeRAT и о том, что он распространяется под видом именно этих семи приложений, первыми сообщили специалисты по кибербезопасности из CloudSEK. Это произошло еще в конце мая, хотя самой программе к тому моменту было, видимо, не меньше года.
На скриншотах из их публикации CloudSEK видно, как фальшивый YouTube Premium после установки запрашивает у пользователя разрешения на просмотр поступающих на телефон уведомлений, чтение и отправку SMS, включение видеокамеры и использование микрофона.
Очевидно, что замаскировать DogeRAT можно и под любую другую программу, но распространять ее придется только как .apk-файл, поскольку сам троян уже известен специалистам по киберзащите и в существующем виде не проникнет в Play Store.
DogeRAT распространяется по модели MaaS (вредоносное ПО как услуга) и использует в своей работе Телеграм. Этот же мессенджер изначально использовался создателями для продажи подписок на DogeRAT.
Премиум-версия трояна включает, в частности, логгер клавиатуры и весь иной функционал для практически полного контроля над зараженным устройством, включая неавторизованные онлайн-платежи. Также доступ к камере и галерее медиафайлов дает злоумышленнику широкие возможности для шантажа.
CloudSEK приводит следующие базовые рекомендации для пользователей по защите своих устройств:
- Не кликать на подозрительные ссылки и не открывать сомнительные файлы;
- Своевременно обновлять ПО до самой свежей версии;
- Использовать надежное антивирусное ПО;
- Соблюдать бдительность, не доверять подозрительно заманчивым предложениям и не поддаваться эмоциям;
- Быть в курсе современных приемов мошенников и их инструментария.
Тайская киберполиция CCIB сократила этот список до двух первых, самых важных, пунктов. Полиция Патонга в принципе воздержалась от публикации рекомендаций и не стала размещать у себя соотвествующие слайды CCIB.
