前言：

 

區塊鏈安全公司 曲速未來 表示：近年來我們看到網路犯罪分子越來越多地聘請網路僱傭兵和惡意軟體即服務（MaaS）提供商作為開展惡意活動的一種方式，從而更加註意這一建議。許多威脅演員更傾向於僱用具有更專業技能的較小團隊，而不是聚集擁有完全從頭開始攻擊所需的必要技能組的全能團隊。實際上，這些威脅行為者以與合法組織購買雲服務類似的方式從MaaS提供商處購買惡意軟體服務。

 

最近截獲了一個新的MaaS產品Black Rose Lucy，俄語團隊開發稱之為“The Lucy Gang”。

 

下面分析揭示地下MaaS市場的最新趨勢。

​

概述：

 

Black Rose Lucy MaaS產品是一個惡意軟體包，包括：

 

1）Lucy Loader：一個遠端控制儀表板，可控制受害裝置和主機的整個僵屍網路，並部署其他惡意軟體負載。

 

2）Black Rose Dropper：針對Android手機的dropper，收集受害者裝置資料，偵聽遠端命令和控制（C＆C）伺服器並安裝從C＆C伺服器傳送的額外惡意軟體。

 

主流Android系統僅允許使用者手動啟用敏感功能來啟用應用程式，例如使應用程式裝置需要成為管理員。為了成為裝置系統管理員，應用程式需要在彈出視窗中明確要求使用者同意，或者要求使用者導航一系列系統設定然後獲得這樣的許可權。另一方面，模仿使用者螢幕點選的Android可訪問性服務可能被惡意軟體濫用以繞過這些安全限制。引入了輔助功能服務，以便使用者可以自動化和簡化某些重複的任務。不過，對於Black Rose來說，這是Android防禦中的致命弱點。一旦成功欺騙受害者，為Black Rose提供無障礙服務，然後就可以在沒有使用者同意的情況下進行APK檔案安裝和自保護安裝了。

 

 

Lucy Loader dashboard

 

在Lucy Loader例項中，研究人員觀察到它目前控制的來自俄羅斯的86臺裝置，從今年8月初開始到現在。

​

 

 

Lucy Loader dashboard還可以快速概覽黑客提供了僵屍網路中受感染裝置的地理位置。

​

 

 

黑客可以將惡意軟體上傳到dashboard，根據威脅行為者的要求，可以將其推遲到整個僵屍網路中的裝置上。

​

 

 

Black Rose dropper

 

發現Black Rose dropper系列樣本偽裝成安卓系統升級檔案或映象檔案。樣本主要利用Android的可訪問性服務來安裝其有效負載，而無需任何使用者互動，並形成一個有趣的自我保護機制。

​

監控服務

 

安裝後，Black Rose dropper會立刻隱藏圖示並註冊Monitor服務。

​

 

60秒後，監控服務會顯示一個警告視窗，聲稱受害者的裝置有危險。它敦促受害者為名為“系統安全”的應用程式啟用Android輔助功能服務（實際上是指Dropper本身）。事實上，Dropper會反覆詢問受害者，直到他們發現啟用了輔助功能服務。

​

 

 

 

 

當受害者啟用Black Rose的可訪問性服務時，就被迫向Black Rose授予裝置管理員許可權，授予在其他應用程式之上顯示視窗的許可權以及忽略Android電池優化的許可權。所有這些都是必要的成分，以顯示欺騙性的警報資訊。

​

 

在幕後，Monitor服務設定程式，以便每當受害者開啟或關閉裝置的螢幕時，它都會重新啟動。這是一種非常簡單但非常有效的技術，可以保證惡意服務始終儘可能地執行。

​

 

 

監控服務然後繼續與C＆C伺服器建立初始連線。

​

 

 

在當前階段，Monitor服務側重於從C＆C伺服器獲取APK檔案安裝任務，並將日誌傳送回C＆C伺服器，該伺服器包含裝置狀態資料，Black Rose執行狀況資料和任務執行日誌。

​

 

 

 

無障礙服務

 

由於Android輔助功能服務可以模仿使用者的螢幕點選，因此這是Black Rose執行惡意活動的關鍵因素。啟用可訪問性服務後，Black Rose可以快速移動螢幕以授予自己裝置管理員許可權（如果之前未授予這些許可權），並忽略系統電池優化，以免被Android電池優化過程殺死。當從C＆C伺服器接收APK檔案時，Black Rose通過相同的技術進行安裝，通過模擬使用者點選來完成安裝步驟。

​

除了通常的惡意活動之外，研究人員還發現一些有趣的自我保護機制存在於一些Black Ros樣本中-Black Rose積極檢查是否啟動了流行的免費安全工具或系統清潔工。

​

 

一旦找到，Black Rose將模擬使用者點選“後退”按鈕或“主頁”按鈕，希望退出這些工具或至少阻止受害者使用它們。與使用超級使用者許可權在程序級別殺死其他應用程式相比，研究人員發現這種方法更安靜，並且需要更簡單的程式碼實現。

​

 

除了防止安全工具，Black Rose還阻止了受害者在其裝置上使用恢復出廠設定的能力。每當受害者嘗試在設定中打開出廠重置選單時，Black Rose會快速按下“主頁”和“後退”按鈕。

​

 

進化

 

在研究人員的調查過程中還發現了一個更新版本的Black Rose dropper，它推出了Lucy Loader dashboard的新演示版本。Black Rose的新版本現在指的是使用域名而不是IP地址的C＆C伺服器。雖然使用IP地址可以節省一些運營成本，但它使僵屍網路很容易受到伺服器刪除的影響。此更改為僵屍網路提供了更強大的控制通訊。

​

在新版本的Lucy Loader dashboard中，可以看到僵屍網路採用DEX有效載荷而不是APK有效載荷。需要安裝APK檔案時，可以動態載入DEX檔案。它使得DEX有效載荷比APK更加有​​效和強大。

​

 

研究人員發現此 dashboard上的模擬受害者位於法國，以色列和土耳其，因此認為Lucy Gang可能正在向有興趣攻擊這些國家的潛在黑客組織進行演示。

​

 

 

 

總結

 

區塊鏈安全公司 曲速未來 觀點：在程式碼分析過程中，可以明顯感受到Lucy Gang對全球化野心有了強烈的感覺。事實上，由於目前支援英語，土耳其語和俄語使用者介面的Black Rose dropper，因此得到的印象是Black Rose Lucy計劃成為遠遠超出俄羅斯邊境的僵屍網路服務。

 

考慮到小米手機在亞洲和東歐的日益普及，Black Rose在一些惡意活動中對MIUI有特殊的邏輯和處理。在自我保護機制中，它非常重視中國的安全和系統工具應用。這些觀察結果讓我們相信，Black Rose Lucy的下一站可能是全球最大的安卓手機市場中國，包括法國、土耳其、以色列等。