新恶意软件即服务Black Rose Lucy现身，中国可能是下一个攻击目标,,近年来网络犯罪逐渐走

原标题：新恶意软件即服务Black Rose Lucy现身，中国可能是下一个攻击目标

现在购买骇客的攻击服务，也像购买云端服务一样方便了，资安业者Check△Point发现一个名为Black△Rose△Lucy的全新恶意软件即服务（Malware-as-a-Service，MaaS），由The△Lucy△Gang俄国团队所开发，虽然这个MaaS服...

现在购买骇客的攻击服务，也像购买云端服务一样方便了，资安业者Check△Point发现一个名为Black△Rose△Lucy的全新恶意软件即服务（Malware-as-a-Service，MaaS），由The△Lucy△Gang俄国团队所开发，虽然这个MaaS服务还在发展的早期阶段，但是Check△Point认为，只需要一些时间，Black△Rose△Lucy便能发展成网络攻击的瑞士刀。

近年来网络犯罪逐渐走向专业化，在网络雇佣佣兵或是购买MaaS，作为进行恶意攻击的一种手段，Check△Point提到，许多有心人士倾向雇佣小型拥有特殊专业技能的团队，而非具备攻击技能组合完整的全功能团队，而这些有心人士以类似购买云端服务的方式，购买这些恶意软件服务。

这个MaaS乍看之下是一个恶意套件工具包，包含了远端控制仪表板Lucy△Loader，用来控制整个僵尸网络的受骇装置和主机，还可用来部署其他的恶意负载（Payload），另一个工具则是Black△Rose△Dropper，针对Android装置设计来收集装置资料、监听远端命令、控制C△C伺服器，并且安装来自C△C伺服器发送的恶意软件。

在Check△Point发现的Lucy△Loader实体中，系统正控制着位于俄罗斯的86台装置，感染日期显示为2018年8月初，Lucy△Loader仪表板还有世界地图介面，为骇客显示僵尸网络的地理位置概览，骇客可以通过仪表板介面上传恶意软件，并将其推送至整个僵尸网络中。而Black△Rose△Dropper会伪装成Android系统升级或图片档案，Check△Point所收集到的样本，则会利用系统的无障碍服务来安装有效负载，过程完全不需要用户参与，并且会形成自我保护的机制。

Black△Rose△Dropper安装完成后，会立刻隐藏其图标，并且向系统注册监控服务，在60秒后，监控服务会向用户显示警示讯息，声称受害者装置有安全危机，要求使用者替名为系统安全的应用程序启用Android无障碍功能，而事实上这个系统安全应用程序正是Black△Rose△Dropper，他会不停地要求受害者授予权限，直到达成目的。只要Black△Rose△Dropper取得无障碍功能权限后，就能给予自己系统管理员权限，以便能在其他应用程序画面前显示视窗，并且忽略Android电池最佳化权限，以避免被节电政策消灭。

监视服务会在每次使用者关闭和开启荧幕时重新启动，以确保恶意软件服务总是有效的。Check△Point表示，目前这个阶段，监控服务的行为主要都是从C△C伺服器获取APK档案后安装，并将日志档送回C△C伺服器，内容包括装置状态、Black△Rose执行的状态以及任务执行的状态资料。

由于Android的无障碍服务可以模拟使用者点击荧幕事件，而这是Black△Rose之所以能够执行恶意活动的关键因素，一旦无障碍功能启动后，Black△Rose便会通过切换荧幕模拟使用者点击事件，迅速的授予自己系统管理员权限。在部分Black△Rose的样本中存在自我保护机制，会积极的检测系统是否存在安全工具，在必要的时候停用这些应用程序。

在Check△Point整个调查过程中，Black△Rose△Lucy还推出了新版本，显示The△Lucy△Gang团队正积极地维护并改进这个工具。新版本Black△Rose△Dropper加强了控制通讯能力，新版本的Lucy△Loader仪表板则将僵尸网络改采用DEX负载而非APK，强化恶意软件入侵能力。

目前Black△Rose△Dropper支援英语、土耳其语和俄语使用者介面，且仪表板中显示，模拟的受害者位在法国、以色列和土耳其，Check△Point认为骇客已经在这些地方向有兴趣的买家进行了展示，因此Black△Rose△Lucy目标的范围应该不只俄罗斯，而且由于Black△Rose△Lucy还对小米手机进行特殊逻辑处理，其中的自我保护机制还特别针对中国安全和系统应用进行特化，因此下一个目标是中国的可能性非常大。

橙山网（Csnd.net）简评：近年来网络犯罪逐渐走向专业化，在网络雇佣佣兵或是购买MaaS，作为进行恶意攻击的一种手段，Check△Point提到，许多有心人士倾向雇佣小型拥有特殊专业技能的团队，而非具备攻击技能组合完整的全功能团