RambleOn Malware IOCs

malware IOC

7 декабря журналист получил сообщение через приложение-мессенджер WeChat с просьбой поговорить наедине на деликатную тему. Обе стороны обсуждают обмен сообщениями через безопасное приложение, и отправитель предлагает поговорить через приложение под названием "Fizzle messenger" и отправляет копию APK, чтобы заманить журналиста установить его.

В результате анализа, проведенного исследователем угроз Ovi Liber из Interlab, было установлено, что APK-файл и его поведение после установки содержат критически важные вредоносные функции, включая возможность чтения и утечки списка контактов, SMS, содержимого голосовых вызовов, местоположения и прочего с момента компрометации объекта.

Вредоносный APK-файл, названный в данном отчете RambleOn, содержит уникальную особенность:

  1. Ипользование инфраструктуры pCloud и Yandex,
  2. Использование сервиса FCM для связи C&C.

Вредоносная программа имеет несколько этапов, полезную нагрузку и постоянно выкачивает данные с устройства Android. Ниже мы опишем в простых шагах, как вредоносная программа работает и компрометирует своих жертв.

  1. Злоумышленник заманивает жертву установить вредоносное приложение (в данном случае это приложение называется Fizzle).
  2. Fizzle загружает полезную нагрузку - файл .Dex - с конечных точек облачного хранилища pCloud или Yandex.
  3. Fizzle динамически загружает файл .Dex и вызывает метод, который эксфильтрирует данные в конечные точки облачного хранилища pCloud или Yandex. При этом также загружается вторичная полезная нагрузка, которая облегчает непрерывную эксфильтрацию и механизмы C2.
  4. Вторичная полезная нагрузка регистрирует устройство в Google Firebase Cloud Messaging для обеспечения механизмов C2.
  5. Вторичная полезная нагрузка запускает множество сервисов, которые обеспечивают эксфильтрацию данных в конечные точки облачного хранилища pCloud или Yandex.
  6. Команды C2 с помощью Firebase Cloud Messaging (FCM) инициируют сервисы во второй полезной нагрузке, которые динамически загружают классы, содержащиеся в первой полезной нагрузке. Эти классы выполняют методы C2 и эксфильтруют любые данные обратно в облачное хранилище.

Indicators of Compromise

SHA256

  • 0dadf1240fd097d15dee890d448cfab02d3ef8698bdc44e18f1b5495e500655f
  • 751e67116e71b0a04bce6cabfa748fc105238ed1dd5b7d72f6d3f6301bbcad17
  • 97d8aed87ec78d975aaff4a63415badf95635616686a7ad4a3257e02b6ca2400
SEC-1275-1
Добавить комментарий