Группа Check Point опубликовала данные о русском ботнете Black Rose Lucy

Black Rose Lucy

Команда специалистов по безопасности Check Point обнародовала данные исследования нового ботнета Black Rose Lucy. Они называют группу русских хакеров «The Lucy Gang» ответственными за разработку вредоносного ПО. Ботнет предназначен для коммерческого использования, и Check Point полагает, что его возможности уже продемонстрированы потенциальным покупателям. Black Rose Lucy предоставляет злоумышленникам доступ к управлению заражёнными устройствами на базе ОС Android, при этом ботнет снабжён средствами обороны от популярных защитных программ.

Инфицирование устройства Black Rose Lucy

Сразу после установки малварь скрывает свою иконку и запускает сервис мониторинга. Через 60 секунд пользователь получает уведомление о критическом сбое. Ему предлагается предоставить разрешение приложению «Security of the system» использовать службу управления доступом.

Black Rose Lucy

Получив доступ, ботнет может имитировать нажатия на экран. Он устанавливает для себя уровень доступа администратора, разрешение игнорировать настройки энергосбережения и показывать своё окно поверх других приложений. Кроме того, сервис запускается заново, если пользователь выключает и включает экран устройства.

Программа проверяет, предоставлены ли ей права доступа. Если пользователь проигнорировал сообщение, ботнет будет показывать его каждые 60 секунд.

Действия на заражённом устройстве

Black Rose Lucy собирает данные об инфицированном устройстве, например, о местоположении. Получив команду управляющего сервера, ботнет устанавливает APK-файлы без ведома пользователя. Возможность имитировать нажатия на экран позволяет получать требуемые разрешения. Последние версии приложения ориентированы на установку DEX-файлов. Специалисты команды Check Point считают, что это расширяет возможности ботнета.

Хакеры снабдили приложение средствами защиты от популярных инструментов безопасности. Малварь постоянно сканирует устройство, пытаясь обнаружить запуск антивируса.

Black Rose Lucy

При срабатывании триггера Black Rose Lucy имитирует нажатие кнопок «Назад» и «Домой», пытаясь закрыть приложение или заставить пользователя отказаться от его использования. Check Point заявляет, что этот способ незаметнее, чем принудительное прекращение работы процесса, и легче реализуется. Те же действия ботнет предпринимает и при попытке сброса устройства на заводские настройки.

Ботнет как услуга

Поскольку приложение предназначено для коммерческого использования, разработчики позаботились о создании удобного интерфейса. Управление сетью инфицированных машин реализовано через наглядную таблицу, в которой содержатся все необходимые данные и команды.

Black Rose Lucy
Исходя из того, что в демо-версии программы симулированы заражённые устройства во Франции, Турции и Израиле, специалисты по безопасности считают, что потенциальные клиенты заинтересованы в атаке на эти страны. Интерфейс приложения поддерживает русский, английский и турецкий языки.

Кроме того, в защитных алгоритмах Black Rose Lucy большое внимание уделено обходу защитных механизмов китайских производителей, в частности системы MIUI от Xiaomi.

Команда Check Point регулярно публикует данные о новых угрозах. В августе 2018 года специалисты сообщили об эксплойте Man-in-the-Disk, эксплуатирующем уязвимости в управлении внешней памятью приложениями на Android. А в марте того же года рассказали об уязвимости в Google Chrome, дающей возможность получить статус администратора в macOS.

via ZDNet
Source: Check Point Research

Подобрали три теста для вас:
— А здесь можно применить блокчейн?
Серверы для котиков: выберите лучшее решение для проекта и проверьте себя.
Сложный тест по C# — проверьте свои знания.

Также рекомендуем: