Black Rose Lucy:最新俄羅斯MaaS殭屍網路
概覽
Black Rose Lucy MaaS產品是保護的功能有:
·Lucy Loader,遠端控制面板,可以控制整個殭屍網路中的裝置、主機,還可以應用其他的惡意軟體payload;
· Black Rose Dropper,攻擊安卓收集的釋放器,可以收集受害者裝置資料、監聽遠端C&C伺服器,並安裝來自C&C伺服器的其他惡意軟體;
主流安卓應用都要求使用者手動開啟敏感功能來啟用應用。為了獲取裝置系統管理許可權,應用需要彈窗獲取使用者同意,或要求使用者通過系統設定來授予許可權。另外,安卓輔助功能(Accessibility Service)可以模擬使用者螢幕點選,惡意軟體會濫用這一功能來繞過一些安全限制。Black Rose會誘使受害者開啟accessibility service,然後就可以在沒有使用者同意的情況下進行APK檔案安裝和自保護安裝了。
Lucy Loader dashboard
在Lucy Loader例項中,研究人員發現其可以控制來自俄羅斯的86個裝置,時間從8月初到現在。
圖1: Lucy Loader dashboard.
Lucy Loader dashboard中還可以看出殭屍網路受感染裝置的地理位置。
圖2: 受感染裝置的地理位置分佈
黑客可以上傳惡意軟體到dashboard,之後可以根據需求同送訊息給整個殭屍網路。
圖3: Payload上傳和管理
Black Rose dropper
研究人員發現的Black Rose dropper家族樣本偽裝成安卓系統升級檔案或映象檔案。樣本主要利用安卓的accessibility service來安裝payload,並偽造自保護機制。
監控服務
安裝後, Black Rose dropper會立刻隱藏圖示並註冊監控服務。
圖4: 最初的惡意活動
60秒後,監控服務就會展示一個告警串列埠稱受害者裝置處於危險中。然後督促受害者為應用Security of the system開啟Android accessibility service功能。而釋放器會重複請求受害者直到accessibility service開啟。
圖5:誘騙受害者開啟accessibility service的告警視窗
圖6: Black Rose dropper偽裝為 “Security of the system”
圖7: 展示欺騙告警視窗的程式碼
當受害者為Black Rose開啟accessibility service後,就迫使為Black Rose授予裝置管理許可權、在其他應用上顯示彈窗許可權、忽略電池優化許可權。這都是顯示欺騙告警訊息所必須的。
圖8: 獲得額外許可權的程式碼
監控服務還會設定程式,當受害者裝置螢幕開啟或關閉後,監控服務會重啟。這是一種簡單又高效的方式來確保惡意服務一直在執行。
圖9: 重啟惡意服務的程式碼
然後,監控服務會建立與 C&C伺服器的連線。
圖10: 連線C&C伺服器的程式碼
當前階段,監控服務主要從 C&C伺服器獲取APK檔案安裝任務,並將日誌發回給含有裝置資料、Black Rose健康資料、任務執行日誌的C&C伺服器。
圖11: 從 C&C伺服器獲取APK檔案安裝任務的程式碼
圖12: 構建日誌資料庫的程式碼
圖13:傳送日誌到C&C伺服器的程式碼
Accessibility Service
因為安卓的accessibility service可以模擬使用者的螢幕點選操作,所以這是Black Rose實現惡意活動的關鍵因素。一旦accessability service開啟,Black Rose就回通過模擬螢幕操作來授予其裝置管理許可權,忽略系統電池優化來避免被安卓電池優化程序殺掉。當從C&C伺服器接收到APK檔案後,Black Rose會用相同的技術來執行安裝,通過模擬使用者點選來完成安裝步驟。
除了常見的惡意活動外,研究人員還在Black Rose樣本中發現了自保護機制,Black Rose會主動檢查一些主流的免費安全工具或系統清理器是否啟動。
圖14: 檢查主流的安全工具和系統清理器是否啟動的程式碼
一旦發現啟動了安全工具或系統清理軟體,Black Rose就會模擬使用者點選“後退”或“home”鍵,希望能夠退出這些應用。與使用超級使用者許可權來殺掉其他應用相比,研究人員發現該方法比較安靜,而且程式碼實現更簡單。
圖15: 模擬使用者點選home和back鍵的程式碼
除了預防安全工具外,Black Rose還會攔截受害者使用恢復出廠設定。當受害者嘗試在選單中開啟恢復出廠設定時,Black Rose會快速模擬按下home和back鍵。
圖16:阻止使用者恢復出廠設定的程式碼
進化
研究人員分析過程發現了Black Rose dropper的一個新版本,新版本的C&C伺服器使用的是域名而不是IP地址。雖然使用IP地址可以節省成本,但也會使殭屍網路更容易被接管。這一變化使殭屍網路的控制通訊更加魯棒。
新版本的Lucy Loader dashboard中,可以看出殭屍網路使用DEX payload來替代原來的APK payload。DEX檔案可以動態載入,而APK檔案需要安裝,所以DEX payload比APK更加有效和有力。
圖17: DEX payload管理
研究人員發現dashboard中模擬的受害者位於法國、以色列和土耳其,因此Lucy Gang可能正為一些潛在的黑客組織進行demo演示。
圖18: 模擬的受害者
圖19: 地理位置分佈
總結
在程式碼分析過程中,研究人員感受到Lucy團伙全球化的野心,因為Black Rose dropper當前除了支援俄語介面外,還支援英語、土耳其語介面。因為小米手機在亞洲和東歐都非常流行,Black Rose在一些惡意活動中都有MIUI的邏輯和處理。在自保護機制方面,比較關注中國的安全和系統工具應用。這都暗示著Black Rose Lucy的下一站可能是全球最大的安卓手機市場中國以及中國產手機比較流行的國家,包括法國、土耳其、以色列等。