前言：

近年來我們看到網絡犯罪分子越來越多地聘請網絡雇傭兵和惡意軟件即服務（MaaS）提供商作為開展惡意活動的一種方式，從而更加注意這一建議。許多威脅演員更傾向于雇用具有更專業(yè)技能的較小團隊，而不是聚集擁有完全從頭開始攻擊所需的必要技能組的全能團隊。實際上，這些威脅行為者以與合法組織購買云服務類似的方式從MaaS提供商處購買惡意軟件服務。

最近截獲了一個新的MaaS產品Black Rose Lucy，俄語團隊開發(fā)稱之為“The Lucy Gang”。

下面分析揭示地下MaaS市場的最新趨勢。

概述：

Black Rose Lucy MaaS產品是一個惡意軟件包，包括：

1）Lucy Loader：一個遠程控制儀表板，可控制受害設備和主機的整個僵尸網絡，并部署其他惡意軟件負載。

2）Black Rose Dropper：針對Android手機的dropper，收集受害者設備數據，偵聽遠程命令和控制（C＆C）服務器并安裝從C＆C服務器發(fā)送的額外惡意軟件。

主流Android系統(tǒng)僅允許用戶手動啟用敏感功能來激活應用程序，例如使應用程序設備需要成為管理員。為了成為設備系統(tǒng)管理員，應用程序需要在彈出窗口中明確要求用戶同意，或者要求用戶導航一系列系統(tǒng)設置然后獲得這樣的權限。另一方面，模仿用戶屏幕點擊的Android可訪問性服務可能被惡意軟件濫用以繞過這些安全限制。引入了輔助功能服務，以便用戶可以自動化和簡化某些重復的任務。不過，對于Black Rose來說，這是Android防御中的致命弱點。一旦成功欺騙受害者，為Black Rose提供無障礙服務，然后就可以在沒有用戶同意的情況下進行APK文件安裝和自保護安裝了。

Lucy Loader dashboard

在Lucy Loader實例中，研究人員觀察到它目前控制的來自俄羅斯的86臺設備，從今年8月初開始到現在。

圖1：Lucy Loader dashboard

Lucy Loader dashboard還可以快速概覽黑客提供了僵尸網絡中受感染設備的地理位置。

圖2：受感染設備的地理位置分布

黑客可以將惡意軟件上傳到dashboard，根據威脅行為者的要求，可以將其推遲到整個僵尸網絡中的設備上。

圖3：有效負載上傳和管理。

Black Rose dropper

發(fā)現Black Rose dropper系列樣本偽裝成安卓系統(tǒng)升級文件或鏡像文件。樣本主要利用Android的可訪問性服務來安裝其有效負載，而無需任何用戶交互，并形成一個有趣的自我保護機制。

監(jiān)控服務

安裝后，Black Rose dropper會立刻隱藏圖標并注冊Monitor服務。

圖4：初始惡意活動

60秒后，監(jiān)控服務會顯示一個警告窗口，聲稱受害者的設備有危險。它敦促受害者為名為“系統(tǒng)安全”的應用程序啟用Android輔助功能服務（實際上是指Dropper本身）。事實上，Dropper會反復詢問受害者，直到他們發(fā)現啟用了輔助功能服務。

圖5：警報窗口欺騙受害者以啟用輔助功能服務

圖6：Black Rose Dropper偽裝成“系統(tǒng)安全”

圖7：顯示欺騙性警報的代碼

當受害者啟用Black Rose的可訪問性服務時，就被迫向Black Rose授予設備管理員權限，授予在其他應用程序之上顯示窗口的權限以及忽略Android電池優(yōu)化的權限。所有這些都是必要的成分，以顯示欺騙性的警報信息。

圖8：額外權限的代碼

在幕后，Monitor服務設置程序，以便每當受害者打開或關閉設備的屏幕時，它都會重新啟動。這是一種非常簡單但非常有效的技術，可以保證惡意服務始終盡可能地運行。

圖9：重啟惡意服務的代碼

監(jiān)控服務然后繼續(xù)與C＆C服務器建立初始連接。

圖10：連接到C＆服務器的代碼

在當前階段，Monitor服務側重于從C＆C服務器獲取APK文件安裝任務，并將日志發(fā)送回C＆C服務器，該服務器包含設備狀態(tài)數據，Black Rose運行狀況數據和任務執(zhí)行日志。

圖11：從C＆C服務器獲取APK文件安裝任務的代碼

圖12：構建日志數據庫的代碼，也是我們將dropper命名為Black Rose的原因

圖13：將日志發(fā)送到C＆C服務器的代碼。

無障礙服務

由于Android輔助功能服務可以模仿用戶的屏幕點擊，因此這是Black Rose執(zhí)行惡意活動的關鍵因素。啟用可訪問性服務后，Black Rose可以快速移動屏幕以授予自己設備管理員權限（如果之前未授予這些權限），并忽略系統(tǒng)電池優(yōu)化，以免被Android電池優(yōu)化過程殺死。當從C＆C服務器接收APK文件時，Black Rose通過相同的技術進行安裝，通過模擬用戶點擊來完成安裝步驟。

除了通常的惡意活動之外，研究人員還發(fā)現一些有趣的自我保護機制存在于一些Black Ros樣本中-Black Rose積極檢查是否啟動了流行的免費安全工具或系統(tǒng)清潔工。

圖14：用于檢查檢查主流的安全工具和系統(tǒng)清理器是否啟動的代碼

一旦找到，Black Rose將模擬用戶點擊“后退”按鈕或“主頁”按鈕，希望退出這些工具或至少阻止受害者使用它們。與使用超級用戶權限在進程級別殺死其他應用程序相比，研究人員發(fā)現這種方法更安靜，并且需要更簡單的代碼實現。

圖15：模擬用戶點擊主頁按鈕和后退按鈕的代碼

除了防止安全工具，Black Rose還阻止了受害者在其設備上使用恢復出廠設置的能力。每當受害者嘗試在設置中打開出廠重置菜單時，Black Rose會快速按下“主頁”和“后退”按鈕。

圖16：阻止用戶恢復出廠設置的代碼

進化

在研究人員的調查過程中還發(fā)現了一個更新版本的Black Rose dropper，它推出了Lucy Loader dashboard的新演示版本。Black Rose的新版本現在指的是使用域名而不是IP地址的C＆C服務器。雖然使用IP地址可以節(jié)省一些運營成本，但它使僵尸網絡很容易受到服務器刪除的影響。此更改為僵尸網絡提供了更強大的控制通信。

在新版本的Lucy Loader dashboard中，可以看到僵尸網絡采用DEX有效載荷而不是APK有效載荷。需要安裝APK文件時，可以動態(tài)加載DEX文件。它使得DEX有效載荷比APK更加有效和強大。

圖17：DEX有效負載管理

研究人員發(fā)現此 dashboard上的模擬受害者位于法國，以色列和土耳其，因此認為Lucy Gang可能正在向有興趣攻擊這些國家的潛在黑客組織進行演示。

圖18：模擬受害者

圖19：地理位置概述

總結

在代碼分析過程中，可以明顯感受到Lucy Gang對全球化野心有了強烈的感覺。事實上，由于目前支持英語，土耳其語和俄語用戶界面的Black Rose dropper，因此得到的印象是Black Rose Lucy計劃成為遠遠超出俄羅斯邊境的僵尸網絡服務。

考慮到小米手機在亞洲和東歐的日益普及，Black Rose在一些惡意活動中對MIUI有特殊的邏輯和處理。在自我保護機制中，它非常重視中國的安全和系統(tǒng)工具應用。這些觀察結果讓我們相信，Black Rose Lucy的下一站可能是全球最大的安卓手機市場中國，包括法國、土耳其、以色列等。