Управление по организации борьбы с противоправным использованием информационно-коммуникационных технологий МВД России предупредило о выявлении вредоносного ПО Drama RAT, предназначенного для устройств на платформе Android. Согласно информации ведомства, этот инструмент удаленного управления может использоваться для хищения данных, несанкционированного доступа к банковским приложениям и удаленной блокировки устройства.
По данным МВД, распространение вредоносного ПО происходит через мессенджеры, SMS-сообщения и электронную почту. Для привлечения внимания потенциальных жертв злоумышленники предлагают бесплатный доступ к сервисам или игровым модификациям, а также рассылают файлы с названиями, имитирующими официальные документы («Декларация», «Счет на оплату»). После запуска приложение запрашивает разрешение на обновление и в фоновом режиме загружает основную вредоносную часть.
Далее программа запрашивает доступ к службе специальных возможностей системы. В случае подтверждения пользователем этого запроса троян получает возможность читать содержимое экрана, перехватывать вводимые пароли и имитировать нажатия. Затем вредоносное ПО требует установить PIN-код, который впоследствии позволяет злоумышленнику заблокировать смартфон его владельца.
Техническая особенность Drama RAT заключается в использовании зашифрованной библиотеки, активирующейся только в оперативной памяти устройства. Это делает невозможным обнаружение угрозы при статическом анализе установочных APK-файлов. Для связи с управляющим сервером применяется взаимная аутентификация с уникальным сертификатом клиента, что значительно усложняет перехват трафика стандартными средствами.
После заражения программа предоставляет злоумышленнику возможность удаленного управления устройством. На панели администратора в реальном времени отображаются IP-адрес, геолокация, версия операционной системы, уровень заряда батареи, а также информация о текущем открытом приложении на экране жертвы.