俄罗斯新的Maas僵尸网络:Black Rose Lucy

俄罗斯新的Maas僵尸网络:Black Rose Lucy

黑客攻击Android的恶意软件包被称为黑玫瑰露西(Black Rose Lucy),虽然现在影响的范围有限,但显然向全球发展的趋势。

研究人员发现了一位俄罗斯黑客,他兜售一款名为“Black Rose Lucy”的恶意软件包。这个软件包由两部分组成,一个是远程控制仪表板,可控制受害设备和主机的整个僵尸网络,并部署其他恶意软件负载,另一个是针对Android系统的恶意软件。

该软件包的幕后推手被研究者称为Lucy Gang,是黑客界的新星。

没有任何证据表明可以将Lucy Gang与现有已知的黑客联系起来,然而,Lucy Gang的编码技巧极高,也很具有商业头脑。所以,Lucy Gang的成员很有可能已经从事黑客行业很久了。

这个软件包叫Black Rose Lucy是因为在其代码中发现了这个名字。

研究人员查看了黑客的仪表板,发现他们将“Lucy”作为仪表板标题(显示在浏览器选项卡中)。 在Android恶意软件中,研究人员根据远程控制仪表板找到了创建本地数据库的代码,用于记录命令执行结果(日志),该数据库表称为“blackRose”。这两个部分非常独特,所以研究人员决定将恶意软件包称为Black Rose Lucy,而Black Rose指的是Android恶意软件,Lucy指控制仪表板。

恶意软件

Black Rose是针对Android手机的dropper,收集受害者设备数据,侦听远程命令和控制(C&C)服务器并安装从C&C服务器发送的额外恶意软件。

为此,Lucy Gang提供了一组常用的恶意移动有效载荷,例如那些可以从Android手机窃取短信和联系人的有效载荷。但是,Lucy Gang还在Lucy仪表板中开发了一个上传功能,以便买家或客户可以将他们自己的恶意负载上传到控制服务器。然后就可以将它部署到整个僵尸网络以达到自己的目的。

俄罗斯新的Maas僵尸网络:Black Rose Lucy

有效负载上传和管理

目前,Black Rose Lucy恶意软件包只能攻击手机; 但是,从技术上讲,它能够感染所有Android设备。

该恶意软件的其它方面也很独特。

首先,Black Rose的代码结构非常简洁,没有多余的代码。也就是说Lucy Gang的开发目标非常明确。以前,许多黑客都重复使用代码或者互相抄袭代码(大多数情况是为了节省时间,或者仅仅是因为没有编码能力)。所以,恶意软件中经常会出现无用代码。

其次,Black Rose使用起来非常简单。

从潜在的恶意软件服务买家的角度来看,用Black Rose发起网络攻击不能再简单了。只需给Lucy Gang付款,然后该团伙就会为买家分离控制服务器,配置侦听来自该特定控制服务器的命令的Android恶意软件,然后将服务器登录和恶意软件移交给买方。整个过程就像购买AWS云服务一样简单。

值得注意的是,Black Rose Lucy还拥有自我保护机制,例如主动检查流行的免费安全工具或系统清洁工具是否已启动。它还阻止受害者在其设备上使用恢复出厂设置。每当受害者尝试在设置中选择出厂重置时,Black Rose会快速按下“主页”和“后退”按钮。

俄罗斯新的Maas僵尸网络:Black Rose Lucy

阻止用户恢复出厂设置的代码

Lucy Gang:恶意软件经销商

在9月初收到恶意软件分析师David Montenegro关于一些网络主机有异常的消息后,CheckPoint研究人员更深入了解了这一情况。他们确定Lucy Gang已经从地下组织演变为专门的恶意软件经销商了。例如,就目前而言,Black Rose Lucy仅针对Android手机。

近来,一些黑客组织进一步专业化。 Black Rose Lucy完美展示了恶意软件开发者和网络攻击竞选者、攻击执行者之间的分离。Lucy Gang与武器开发者类似:它将网络攻击武器作为一种服务销售,但却远离直接的黑客攻击活动。

在许多方面,网络攻击者现在以与合法组织购买云服务类似的方式从MaaS经销商处购买恶意软件服务。

虽然区域化已经持续多年了,但它往往围绕着犯罪供应链(即,窃取个人数据的黑客组织与购买这些数据进行勒索或诈骗的人员之间有明确的界限。MaaS专业化使黑客团队效率更高,降低了发起网络攻击所需的最低技能要求,最终导致更频繁的攻击。

全球趋势

到目前为止,Lucy Gang的影响力和僵尸网络覆盖范围有限,但Check Point研究人员称其有影响全球的能力。

在代码分析过程中,可以明显感受到LucyGang对全球化的野心。Black Rose Dropper目前支持英语,土耳其语和俄语用户界面,而Lucy仪表板仅支持英语和俄语。还有迹象表明,全球最大的Android手机市场中国可能成为下一个目标。

Lucy Gang一直有冲出其发源地俄罗斯的野心。Black Rose有多种语言可供选择,也一直密切关注中国科技。

例如,它包含仅为MIUI设计的特殊逻辑,MIUI是中国小米手机的Android组件。此外,在其防病毒检查中,超过一半的“黑名单”包含免费的中文AV产品以及系统实用程序应用程序。这是第一个如此关注中国技术的俄罗斯组织。

原创文章,作者:M0tto1n,如若转载,请注明出处:http://www.mottoin.com/news/114195.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code