近年來,我們看到網絡犯罪分子開始頻繁招攬網絡黑客和惡意軟件即服務（MaaS）提供商開展惡意活動。最近，在安全分析師David Montenegro的幫助下，一家分析機構Check Point發(fā)現了一款名為Black Rose Lucy的全新惡意軟件即服務（Malware-as-a-Service，MaaS），由The Lucy Gang俄國團隊開發(fā)，雖然這個MaaS服務還在早期發(fā)展階段，但Check Point認為，只需要一些時間，Black Rose Lucy就可以在網絡世界肆意縱橫。Check Point提到，許多犯罪分子傾向雇傭小型擁有特殊專業(yè)技能的團隊，而非具備攻擊技能的的全能團隊，然后以類似購買云端服務的方式，來購買這些惡意軟件服務。

Black Rose Lucy初體驗（不是怦然心動那種初體驗……）

遠程控制儀表板Lucy Loader

這個MaaS乍看是一個惡意套件工具包，包含遠程控制儀表板Lucy Loader，用來控制整個僵尸網絡的被黑設備和主機，還可以用來部署其它的惡意負載（Payload），另一個工具則是Black Rose Dropper，鎖定安卓手機，收集受害者設備數據，監(jiān)聽遠程命令，控制（C＆C）服務器并安裝從C＆C服務器發(fā)送的惡意軟件。

在Check Point發(fā)現的Lucy Loader，系統(tǒng)正控制著位于俄羅斯的86臺設備，感染日期顯示為2018年8月初，Lucy Loader儀表板還有世界地圖的界面，為黑客顯示僵尸網絡的地理位置概覽。

被黑設備的地理位置概覽

黑客可以透過儀表板界面上傳惡意軟件，并將其推送至整個僵尸網絡中。

有效負載上傳和管理

而Black Rose Dropper會偽裝成安卓系統(tǒng)升級或圖片文檔，Check Point收集到的樣本，則會利用系統(tǒng)的允許訪問服務來安裝有效負載，過程完全不需要用戶參與，并且會形成自我保護的機制。

Black Rose Dropper安裝完成后，會立刻隱藏圖標，并且向系統(tǒng)注冊監(jiān)控服務，60秒后，監(jiān)控服務會向用戶顯示警示信息，聲稱受害者設備有安全危機，要求使用者替名為系統(tǒng)安全的應用程序啟用安卓允許訪問功能，而事實上這個系統(tǒng)安全應用程序正是Black Rose Dropper，它會不停地要求受害者授予權限，直到達成目的。

只要Black Rose Dropper取得允許訪問功能權限后，就能給予自己系統(tǒng)管理員權限，以便自身能獲取在其他應用程序上顯示窗口的權限以及忽略Android電池優(yōu)化的權限，避免耗電量過高而被優(yōu)化清理。

監(jiān)視服務會在每次受害者關閉和開啟屏幕時重新啟動，以確保惡意軟件服務的有效性。Check Point表示，目前這個階段，監(jiān)控服務的行為主要都是從C&C服務器獲取APK文件后安裝，并將日志發(fā)送回C＆C服務器，該服務器包含設備狀態(tài)數據，Black Rose運行狀況數據和任務執(zhí)行日志。

由于安卓輔助功能服務可以模擬用戶的屏幕點擊，因此這也是Black Rose執(zhí)行惡意活動的關鍵因素。一旦啟用允許訪問性服務后，Black Rose可以快速點擊屏幕授予自己設備管理員權限（如果之前未授予這些權限）。當從C＆C服務器接收APK文件時，Black Rose通過相同的技術進行安裝，通過模擬用戶點擊來完成安裝步驟。

在Check Point整個調查過程中，Black Rose Lucy還推出了新版本，顯示The Lucy Gang團隊正積極地維護并改進這個工具。新版本Black Rose加強了控制通信的能力，不再使用IP地址而是域名訪問。以免僵尸網絡被服務器刪除。Lucy Loader儀表板上，僵尸網絡采用DEX有效負載而不是APK有效負載，強化惡意軟件攻擊能力。

目前Black Rose Dropper支持英語、土耳其語和俄語界面，且儀表板中顯示，模擬受害者位于法國、以色列和土耳其，Check Point認為黑客已經在這些地方向有興趣的買家進行了演示，因此Black Rose Lucy目標的范圍應該不只俄羅斯，考慮到小米手機在亞洲和東歐的日益普及，Black Rose Lucy還對小米手機進行了特殊邏輯處理，其中的自我保護機制還特別針對最大的Android手機市場——中國安全和系統(tǒng)應用進行特殊優(yōu)化，因此下一個目標是中國的可能性非常大。

崔歡歡