Новая вредоносная программа RambleOn крадет данные Android-устройств через облачные сервисы pCloud и Yandex

Особенностью RambleOn является использование популярных облачных сервисов pCloud и Yandex для хранения украденных данных, а также применение Firebase Cloud Messaging (FCM) для взаимодействия с сервером управления. Это делает вредоносную программу особенно опасной, поскольку она маскирует свою активность под легитимные сервисы, усложняя ее обнаружение.

Механизм работы RambleOn состоит из нескольких этапов. Сначала злоумышленник убеждает жертву установить поддельное приложение, в данном случае маскирующееся под мессенджер Fizzle. После установки программа загружает вредоносный .DEX-файл с серверов pCloud или Yandex, который затем выполняет основную работу по краже данных. Этот файл динамически загружается и запускает метод, отправляющий украденную информацию обратно в облачные хранилища. Одновременно с этим загружается вторичная вредоносная нагрузка, которая обеспечивает постоянный сбор данных и поддерживает связь с сервером управления через FCM.

Вторичная нагрузка выполняет несколько функций. Во-первых, она регистрирует устройство в сервисе Firebase Cloud Messaging, чтобы злоумышленник мог удаленно управлять зараженным смартфоном. Во-вторых, она запускает фоновые сервисы, непрерывно отправляющие данные в облачные хранилища. Команды от сервера управления поступают через FCM, активируя соответствующие методы в первой нагрузке, которые затем выполняют указанные операции и передают украденную информацию обратно в облако.

Такая схема работы делает RambleOn крайне опасной угрозой, поскольку она использует легальные сервисы, что затрудняет ее блокировку антивирусными решениями. Кроме того, злоумышленники могут оперативно менять конечные точки для хранения данных, усложняя отслеживание их активности.

Специалисты по кибербезопасности рекомендуют пользователям избегать установки приложений из ненадежных источников, даже если они приходят от знакомых или коллег. Особую осторожность следует проявлять к предложениям перейти на «более безопасные» мессенджеры, особенно если они требуют загрузки APK-файлов вручную. В случае подозрительных сообщений лучше всего проверить отправителя и уточнить, действительно ли он отправлял подобные файлы.

Кроме того, стоит регулярно обновлять операционную систему и установленные приложения, чтобы минимизировать уязвимости, которыми могут воспользоваться злоумышленники. Использование надежного антивирусного ПО также поможет снизить риск заражения.

На данный момент неизвестно, сколько устройств уже могли быть скомпрометированы RambleOn, но эксперты предполагают, что вредоносная программа может использоваться в рамках целевых атак на журналистов, активистов и бизнесменов, чьи данные представляют особый интерес для злоумышленников. Владельцы Android-устройств должны быть предельно внимательны и избегать установки непроверенных приложений, особенно если они поступают вне официальных магазинов, таких как Google Play.

В случае подозрения на заражение рекомендуется немедленно отключить интернет-соединение, удалить подозрительное приложение и провести полную проверку устройства с помощью лицензионного антивируса. Если данные уже могли быть похищены, необходимо изменить пароли от важных аккаунтов и, при необходимости, обратиться к специалистам по кибербезопасности для дальнейшего анализа.

Распространение таких угроз, как RambleOn, подчеркивает важность цифровой гигиены и осведомленности пользователей о методах социальной инженерии, которые злоумышленники активно используют для проникновения на устройства. Только комплексный подход к безопасности, включающий как технические меры защиты, так и внимательное отношение к источникам загрузки приложений, может значительно снизить риски заражения.

SHA256

• 0dadf1240fd097d15dee890d448cfab02d3ef8698bdc44e18f1b5495e500655f
• 751e67116e71b0a04bce6cabfa748fc105238ed1dd5b7d72f6d3f6301bbcad17
• 97d8aed87ec78d975aaff4a63415badf95635616686a7ad4a3257e02b6ca2400