Группа Check Point опубликовала данные о русском ботнете Black Rose Lucy

Команда специалистов по безопасности Check Point обнародовала данные исследования нового ботнета Black Rose Lucy. Они называют группу русских хакеров «The Lucy Gang» ответственными за разработку вредоносного ПО. Ботнет предназначен для коммерческого использования, и Check Point полагает, что его возможности уже продемонстрированы потенциальным покупателям. Black Rose Lucy предоставляет злоумышленникам доступ к управлению заражёнными устройствами на базе ОС Android, при этом ботнет снабжён средствами обороны от популярных защитных программ.

Инфицирование устройства Black Rose Lucy

Сразу после установки малварь скрывает свою иконку и запускает сервис мониторинга. Через 60 секунд пользователь получает уведомление о критическом сбое. Ему предлагается предоставить разрешение приложению «Security of the system» использовать службу управления доступом.

Получив доступ, ботнет может имитировать нажатия на экран. Он устанавливает для себя уровень доступа администратора, разрешение игнорировать настройки энергосбережения и показывать своё окно поверх других приложений. Кроме того, сервис запускается заново, если пользователь выключает и включает экран устройства.

Программа проверяет, предоставлены ли ей права доступа. Если пользователь проигнорировал сообщение, ботнет будет показывать его каждые 60 секунд.

Действия на заражённом устройстве

Black Rose Lucy собирает данные об инфицированном устройстве, например, о местоположении. Получив команду управляющего сервера, ботнет устанавливает APK-файлы без ведома пользователя. Возможность имитировать нажатия на экран позволяет получать требуемые разрешения. Последние версии приложения ориентированы на установку DEX-файлов. Специалисты команды Check Point считают, что это расширяет возможности ботнета.

Хакеры снабдили приложение средствами защиты от популярных инструментов безопасности. Малварь постоянно сканирует устройство, пытаясь обнаружить запуск антивируса.

При срабатывании триггера Black Rose Lucy имитирует нажатие кнопок «Назад» и «Домой», пытаясь закрыть приложение или заставить пользователя отказаться от его использования. Check Point заявляет, что этот способ незаметнее, чем принудительное прекращение работы процесса, и легче реализуется. Те же действия ботнет предпринимает и при попытке сброса устройства на заводские настройки.

Ботнет как услуга

Поскольку приложение предназначено для коммерческого использования, разработчики позаботились о создании удобного интерфейса. Управление сетью инфицированных машин реализовано через наглядную таблицу, в которой содержатся все необходимые данные и команды.

Кроме того, в защитных алгоритмах Black Rose Lucy большое внимание уделено обходу защитных механизмов китайских производителей, в частности системы MIUI от Xiaomi.

Команда Check Point регулярно публикует данные о новых угрозах. В августе 2018 года специалисты сообщили об эксплойте Man-in-the-Disk, эксплуатирующем уязвимости в управлении внешней памятью приложениями на Android. А в марте того же года рассказали об уязвимости в Google Chrome, дающей возможность получить статус администратора в macOS.