曲速未来 消息|俄罗斯最新的MaaS僵尸网络：Black Rose Lucy

前言：

 

区块链安全公司 曲速未来 表示：近年来我们看到网络犯罪分子越来越多地聘请网络雇佣兵和恶意软件即服务（MaaS）提供商作为开展恶意活动的一种方式，从而更加注意这一建议。许多威胁演员更倾向于雇用具有更专业技能的较小团队，而不是聚集拥有完全从头开始攻击所需的必要技能组的全能团队。实际上，这些威胁行为者以与合法组织购买云服务类似的方式从MaaS提供商处购买恶意软件服务。

 

最近截获了一个新的MaaS产品Black Rose Lucy，俄语团队开发称之为“The Lucy Gang”。

 

下面分析揭示地下MaaS市场的最新趋势。

​

概述：

 

Black Rose Lucy MaaS产品是一个恶意软件包，包括：

 

1）Lucy Loader：一个远程控制仪表板，可控制受害设备和主机的整个僵尸网络，并部署其他恶意软件负载。

 

2）Black Rose Dropper：针对Android手机的dropper，收集受害者设备数据，侦听远程命令和控制（C＆C）服务器并安装从C＆C服务器发送的额外恶意软件。

 

主流Android系统仅允许用户手动启用敏感功能来激活应用程序，例如使应用程序设备需要成为管理员。为了成为设备系统管理员，应用程序需要在弹出窗口中明确要求用户同意，或者要求用户导航一系列系统设置然后获得这样的权限。另一方面，模仿用户屏幕点击的Android可访问性服务可能被恶意软件滥用以绕过这些安全限制。引入了辅助功能服务，以便用户可以自动化和简化某些重复的任务。不过，对于Black Rose来说，这是Android防御中的致命弱点。一旦成功欺骗受害者，为Black Rose提供无障碍服务，然后就可以在没有用户同意的情况下进行APK文件安装和自保护安装了。

 

 

Lucy Loader dashboard

 

在Lucy Loader实例中，研究人员观察到它目前控制的来自俄罗斯的86台设备，从今年8月初开始到现在。

​

图1：Lucy Loader dashboard

 

 

Lucy Loader dashboard还可以快速概览黑客提供了僵尸网络中受感染设备的地理位置。

​

图2：受感染设备的地理位置分布

 

 

黑客可以将恶意软件上传到dashboard，根据威胁行为者的要求，可以将其推迟到整个僵尸网络中的设备上。

​

图3：有效负载上传和管理。

 

 

Black Rose dropper

 

发现Black Rose dropper系列样本伪装成安卓系统升级文件或镜像文件。样本主要利用Android的可访问性服务来安装其有效负载，而无需任何用户交互，并形成一个有趣的自我保护机制。

​

监控服务

 

安装后，Black Rose dropper会立刻隐藏图标并注册Monitor服务。

​

图4：初始恶意活动

 

60秒后，监控服务会显示一个警告窗口，声称受害者的设备有危险。它敦促受害者为名为“系统安全”的应用程序启用Android辅助功能服务（实际上是指Dropper本身）。事实上，Dropper会反复询问受害者，直到他们发现启用了辅助功能服务。

​

图5：警报窗口欺骗受害者以启用辅助功能服务

 

图6：Black Rose Dropper伪装成“系统安全”

 

图7：显示欺骗性警报的代码

 

 

当受害者启用Black Rose的可访问性服务时，就被迫向Black Rose授予设备管理员权限，授予在其他应用程序之上显示窗口的权限以及忽略Android电池优化的权限。所有这些都是必要的成分，以显示欺骗性的警报信息。

​

图8：额外权限的代码
标题

 

在幕后，Monitor服务设置程序，以便每当受害者打开或关闭设备的屏幕时，它都会重新启动。这是一种非常简单但非常有效的技术，可以保证恶意服务始终尽可能地运行。

​

图9：重启恶意服务的代码

 

 

监控服务然后继续与C＆C服务器建立初始连接。

​

图10：连接到C＆C服务器的代码

 

 

在当前阶段，Monitor服务侧重于从C＆C服务器获取APK文件安装任务，并将日志发送回C＆C服务器，该服务器包含设备状态数据，Black Rose运行状况数据和任务执行日志。

​

图11：从C＆C服务器获取APK文件安装任务的代码

 

图12：构建日志数据库的代码，也是我们将dropper命名为Black Rose的原因

 

图13：将日志发送到C＆C服务器的代码。

 

无障碍服务

 

由于Android辅助功能服务可以模仿用户的屏幕点击，因此这是Black Rose执行恶意活动的关键因素。启用可访问性服务后，Black Rose可以快速移动屏幕以授予自己设备管理员权限（如果之前未授予这些权限），并忽略系统电池优化，以免被Android电池优化过程杀死。当从C＆C服务器接收APK文件时，Black Rose通过相同的技术进行安装，通过模拟用户点击来完成安装步骤。

​

除了通常的恶意活动之外，研究人员还发现一些有趣的自我保护机制存在于一些Black Ros样本中-Black Rose积极检查是否启动了流行的免费安全工具或系统清洁工。

​

图14：用于检查检查主流的安全工具和系统清理器是否启动的代码

 

一旦找到，Black Rose将模拟用户点击“后退”按钮或“主页”按钮，希望退出这些工具或至少阻止受害者使用它们。与使用超级用户权限在进程级别杀死其他应用程序相比，研究人员发现这种方法更安静，并且需要更简单的代码实现。

​

图15：模拟用户点击主页按钮和后退按钮的代码

 

除了防止安全工具，Black Rose还阻止了受害者在其设备上使用恢复出厂设置的能力。每当受害者尝试在设置中打开出厂重置菜单时，Black Rose会快速按下“主页”和“后退”按钮。

​

图16：阻止用户恢复出厂设置的代码

 

进化

 

在研究人员的调查过程中还发现了一个更新版本的Black Rose dropper，它推出了Lucy Loader dashboard的新演示版本。Black Rose的新版本现在指的是使用域名而不是IP地址的C＆C服务器。虽然使用IP地址可以节省一些运营成本，但它使僵尸网络很容易受到服务器删除的影响。此更改为僵尸网络提供了更强大的控制通信。

​

在新版本的Lucy Loader dashboard中，可以看到僵尸网络采用DEX有效载荷而不是APK有效载荷。需要安装APK文件时，可以动态加载DEX文件。它使得DEX有效载荷比APK更加有​​效和强大。

​

图17：DEX有效负载管理

 

研究人员发现此 dashboard上的模拟受害者位于法国，以色列和土耳其，因此认为Lucy Gang可能正在向有兴趣攻击这些国家的潜在黑客组织进行演示。

​

图18：模拟受害者

 

 

图19：地理位置概述

 

总结

 

区块链安全公司 曲速未来 观点：在代码分析过程中，可以明显感受到Lucy Gang对全球化野心有了强烈的感觉。事实上，由于目前支持英语，土耳其语和俄语用户界面的Black Rose dropper，因此得到的印象是Black Rose Lucy计划成为远远超出俄罗斯边境的僵尸网络服务。

 

考虑到小米手机在亚洲和东欧的日益普及，Black Rose在一些恶意活动中对MIUI有特殊的逻辑和处理。在自我保护机制中，它非常重视中国的安全和系统工具应用。这些观察结果让我们相信，Black Rose Lucy的下一站可能是全球最大的安卓手机市场中国，包括法国、土耳其、以色列等。