Новая вредоносная программа RambleOn крадет данные Android-устройств через облачные сервисы pCloud и Yandex

malware

7 декабря журналист получил подозрительное сообщение через WeChat с предложением обсудить деликатную тему в более безопасном мессенджере. Отправитель настойчиво рекомендовал перейти на приложение под названием Fizzle Messenger, отправив APK-файл для установки. Однако анализ исследователя угроз Ови Либера из Interlab выявил, что этот файл является вредоносным. Программа, получившая название RambleOn, обладает опасными функциями, позволяющими злоумышленникам красть контакты, SMS-сообщения, записи голосовых вызовов, данные о местоположении и другую конфиденциальную информацию с момента заражения устройства.

Описание

Особенностью RambleOn является использование популярных облачных сервисов pCloud и Yandex для хранения украденных данных, а также применение Firebase Cloud Messaging (FCM) для взаимодействия с сервером управления. Это делает вредоносную программу особенно опасной, поскольку она маскирует свою активность под легитимные сервисы, усложняя ее обнаружение.

Механизм работы RambleOn состоит из нескольких этапов. Сначала злоумышленник убеждает жертву установить поддельное приложение, в данном случае маскирующееся под мессенджер Fizzle. После установки программа загружает вредоносный .DEX-файл с серверов pCloud или Yandex, который затем выполняет основную работу по краже данных. Этот файл динамически загружается и запускает метод, отправляющий украденную информацию обратно в облачные хранилища. Одновременно с этим загружается вторичная вредоносная нагрузка, которая обеспечивает постоянный сбор данных и поддерживает связь с сервером управления через FCM.

Вторичная нагрузка выполняет несколько функций. Во-первых, она регистрирует устройство в сервисе Firebase Cloud Messaging, чтобы злоумышленник мог удаленно управлять зараженным смартфоном. Во-вторых, она запускает фоновые сервисы, непрерывно отправляющие данные в облачные хранилища. Команды от сервера управления поступают через FCM, активируя соответствующие методы в первой нагрузке, которые затем выполняют указанные операции и передают украденную информацию обратно в облако.

Такая схема работы делает RambleOn крайне опасной угрозой, поскольку она использует легальные сервисы, что затрудняет ее блокировку антивирусными решениями. Кроме того, злоумышленники могут оперативно менять конечные точки для хранения данных, усложняя отслеживание их активности.

Специалисты по кибербезопасности рекомендуют пользователям избегать установки приложений из ненадежных источников, даже если они приходят от знакомых или коллег. Особую осторожность следует проявлять к предложениям перейти на «более безопасные» мессенджеры, особенно если они требуют загрузки APK-файлов вручную. В случае подозрительных сообщений лучше всего проверить отправителя и уточнить, действительно ли он отправлял подобные файлы.

Кроме того, стоит регулярно обновлять операционную систему и установленные приложения, чтобы минимизировать уязвимости, которыми могут воспользоваться злоумышленники. Использование надежного антивирусного ПО также поможет снизить риск заражения.

На данный момент неизвестно, сколько устройств уже могли быть скомпрометированы RambleOn, но эксперты предполагают, что вредоносная программа может использоваться в рамках целевых атак на журналистов, активистов и бизнесменов, чьи данные представляют особый интерес для злоумышленников. Владельцы Android-устройств должны быть предельно внимательны и избегать установки непроверенных приложений, особенно если они поступают вне официальных магазинов, таких как Google Play.

В случае подозрения на заражение рекомендуется немедленно отключить интернет-соединение, удалить подозрительное приложение и провести полную проверку устройства с помощью лицензионного антивируса. Если данные уже могли быть похищены, необходимо изменить пароли от важных аккаунтов и, при необходимости, обратиться к специалистам по кибербезопасности для дальнейшего анализа.

Распространение таких угроз, как RambleOn, подчеркивает важность цифровой гигиены и осведомленности пользователей о методах социальной инженерии, которые злоумышленники активно используют для проникновения на устройства. Только комплексный подход к безопасности, включающий как технические меры защиты, так и внимательное отношение к источникам загрузки приложений, может значительно снизить риски заражения.

Индикаторы компрометации

SHA256

  • 0dadf1240fd097d15dee890d448cfab02d3ef8698bdc44e18f1b5495e500655f
  • 751e67116e71b0a04bce6cabfa748fc105238ed1dd5b7d72f6d3f6301bbcad17
  • 97d8aed87ec78d975aaff4a63415badf95635616686a7ad4a3257e02b6ca2400
Комментарии: 0