TMT观察网_独特视角观察TMT行业

前言：

近年來我們看到網(wǎng)絡犯罪分子越來越多地聘請網(wǎng)絡雇傭兵和惡意軟件即服務（MaaS）提供商作為開展惡意活動的一種方式，從而更加注意這一建議。許多威脅演員更傾向于雇用具有更專業(yè)技能的較小團隊，而不是聚集擁有完全從頭開始攻擊所需的必要技能組的全能團隊。實際上，這些威脅行為者以與合法組織購買云服務類似的方式從MaaS提供商處購買惡意軟件服務。

最近截獲了一個新的MaaS產(chǎn)品Black Rose Lucy，俄語團隊開發(fā)稱之為“The Lucy Gang”。

下面分析揭示地下MaaS市場的最新趨勢。

概述：

Black Rose Lucy MaaS產(chǎn)品是一個惡意軟件包，包括：

1）Lucy Loader：一個遠程控制儀表板，可控制受害設備和主機的整個僵尸網(wǎng)絡，并部署其他惡意軟件負載。

2）Black Rose Dropper：針對Android手機的dropper，收集受害者設備數(shù)據(jù)，偵聽遠程命令和控制（C＆C）服務器并安裝從C＆C服務器發(fā)送的額外惡意軟件。

主流Android系統(tǒng)僅允許用戶手動啟用敏感功能來激活應用程序，例如使應用程序設備需要成為管理員。為了成為設備系統(tǒng)管理員，應用程序需要在彈出窗口中明確要求用戶同意，或者要求用戶導航一系列系統(tǒng)設置然后獲得這樣的權限。另一方面，模仿用戶屏幕點擊的Android可訪問性服務可能被惡意軟件濫用以繞過這些安全限制。引入了輔助功能服務，以便用戶可以自動化和簡化某些重復的任務。不過，對于Black Rose來說，這是Android防御中的致命弱點。一旦成功欺騙受害者，為Black Rose提供無障礙服務，然后就可以在沒有用戶同意的情況下進行APK文件安裝和自保護安裝了。

Lucy Loader dashboard

在Lucy Loader實例中，研究人員觀察到它目前控制的來自俄羅斯的86臺設備，從今年8月初開始到現(xiàn)在。

圖1：Lucy Loader dashboard

Lucy Loader dashboard還可以快速概覽黑客提供了僵尸網(wǎng)絡中受感染設備的地理位置。

圖2：受感染設備的地理位置分布

黑客可以將惡意軟件上傳到dashboard，根據(jù)威脅行為者的要求，可以將其推遲到整個僵尸網(wǎng)絡中的設備上。

圖3：有效負載上傳和管理。

Black Rose dropper

發(fā)現(xiàn)Black Rose dropper系列樣本偽裝成安卓系統(tǒng)升級文件或鏡像文件。樣本主要利用Android的可訪問性服務來安裝其有效負載，而無需任何用戶交互，并形成一個有趣的自我保護機制。

監(jiān)控服務

安裝后，Black Rose dropper會立刻隱藏圖標并注冊Monitor服務。

圖4：初始惡意活動

60秒后，監(jiān)控服務會顯示一個警告窗口，聲稱受害者的設備有危險。它敦促受害者為名為“系統(tǒng)安全”的應用程序啟用Android輔助功能服務（實際上是指Dropper本身）。事實上，Dropper會反復詢問受害者，直到他們發(fā)現(xiàn)啟用了輔助功能服務。

圖5：警報窗口欺騙受害者以啟用輔助功能服務

圖6：Black Rose Dropper偽裝成“系統(tǒng)安全”

圖7：顯示欺騙性警報的代碼

當受害者啟用Black Rose的可訪問性服務時，就被迫向Black Rose授予設備管理員權限，授予在其他應用程序之上顯示窗口的權限以及忽略Android電池優(yōu)化的權限。所有這些都是必要的成分，以顯示欺騙性的警報信息。

圖8：額外權限的代碼

在幕后，Monitor服務設置程序，以便每當受害者打開或關閉設備的屏幕時，它都會重新啟動。這是一種非常簡單但非常有效的技術，可以保證惡意服務始終盡可能地運行。

圖9：重啟惡意服務的代碼

監(jiān)控服務然后繼續(xù)與C＆C服務器建立初始連接。

圖10：連接到C＆服務器的代碼

在當前階段，Monitor服務側(cè)重于從C＆C服務器獲取APK文件安裝任務，并將日志發(fā)送回C＆C服務器，該服務器包含設備狀態(tài)數(shù)據(jù)，Black Rose運行狀況數(shù)據(jù)和任務執(zhí)行日志。

圖11：從C＆C服務器獲取APK文件安裝任務的代碼

圖12：構建日志數(shù)據(jù)庫的代碼，也是我們將dropper命名為Black Rose的原因

圖13：將日志發(fā)送到C＆C服務器的代碼。

無障礙服務

由于Android輔助功能服務可以模仿用戶的屏幕點擊，因此這是Black Rose執(zhí)行惡意活動的關鍵因素。啟用可訪問性服務后，Black Rose可以快速移動屏幕以授予自己設備管理員權限（如果之前未授予這些權限），并忽略系統(tǒng)電池優(yōu)化，以免被Android電池優(yōu)化過程殺死。當從C＆C服務器接收APK文件時，Black Rose通過相同的技術進行安裝，通過模擬用戶點擊來完成安裝步驟。

除了通常的惡意活動之外，研究人員還發(fā)現(xiàn)一些有趣的自我保護機制存在于一些Black Ros樣本中-Black Rose積極檢查是否啟動了流行的免費安全工具或系統(tǒng)清潔工。

圖14：用于檢查檢查主流的安全工具和系統(tǒng)清理器是否啟動的代碼

一旦找到，Black Rose將模擬用戶點擊“后退”按鈕或“主頁”按鈕，希望退出這些工具或至少阻止受害者使用它們。與使用超級用戶權限在進程級別殺死其他應用程序相比，研究人員發(fā)現(xiàn)這種方法更安靜，并且需要更簡單的代碼實現(xiàn)。

圖15：模擬用戶點擊主頁按鈕和后退按鈕的代碼

除了防止安全工具，Black Rose還阻止了受害者在其設備上使用恢復出廠設置的能力。每當受害者嘗試在設置中打開出廠重置菜單時，Black Rose會快速按下“主頁”和“后退”按鈕。

圖16：阻止用戶恢復出廠設置的代碼

進化

在研究人員的調(diào)查過程中還發(fā)現(xiàn)了一個更新版本的Black Rose dropper，它推出了Lucy Loader dashboard的新演示版本。Black Rose的新版本現(xiàn)在指的是使用域名而不是IP地址的C＆C服務器。雖然使用IP地址可以節(jié)省一些運營成本，但它使僵尸網(wǎng)絡很容易受到服務器刪除的影響。此更改為僵尸網(wǎng)絡提供了更強大的控制通信。

在新版本的Lucy Loader dashboard中，可以看到僵尸網(wǎng)絡采用DEX有效載荷而不是APK有效載荷。需要安裝APK文件時，可以動態(tài)加載DEX文件。它使得DEX有效載荷比APK更加有效和強大。

圖17：DEX有效負載管理

研究人員發(fā)現(xiàn)此 dashboard上的模擬受害者位于法國，以色列和土耳其，因此認為Lucy Gang可能正在向有興趣攻擊這些國家的潛在黑客組織進行演示。

圖18：模擬受害者

圖19：地理位置概述

總結

在代碼分析過程中，可以明顯感受到Lucy Gang對全球化野心有了強烈的感覺。事實上，由于目前支持英語，土耳其語和俄語用戶界面的Black Rose dropper，因此得到的印象是Black Rose Lucy計劃成為遠遠超出俄羅斯邊境的僵尸網(wǎng)絡服務。

考慮到小米手機在亞洲和東歐的日益普及，Black Rose在一些惡意活動中對MIUI有特殊的邏輯和處理。在自我保護機制中，它非常重視中國的安全和系統(tǒng)工具應用。這些觀察結果讓我們相信，Black Rose Lucy的下一站可能是全球最大的安卓手機市場中國，包括法國、土耳其、以色列等。