Специалистам по информационной безопасности из компании Check Point Research удалось получить доступ к панели управления нового ботнета, названного Black Rose Lucy. Считается, что зомби-сеть создана русскоязычной группировкой и нацелена на устройства под управлением Android. По мнению экспертов, сейчас система находится в стадии тестирования, а позднее разработчики планируют продавать ее на международном рынке по модели «Вредоносное ПО как услуга».

Ботнет состоит из двух модулей:

  • Lucy Loader— веб-интерфейс административной панели для управления всеми инфицированными устройствами и размещения файлов полезной нагрузки.
  • Black Rose Dropper— установщик вредоносных программ, обеспечивающий связь с командным сервером и сбор сведений об устройстве.

Троян проникает в целевую систему под видом обновления Android или графических файлов. После установки Black Rose Dropper скрывает свою иконку и регистрируется на устройстве под именем Security of the system. Через 60 секунд программа выводит на экран сообщение об угрозе безопасности и просит у жертвы разрешение на использование специальных возможностей.

Злоумышленники рассчитывают, что владелец устройства одобрит запрос приложения, приняв его за один из пунктов меню. Всплывающее окно с предупреждением появляется на дисплее до тех пор, пока желаемый результат не будет достигнут.

Ряд действий, затрагивающих безопасность устройства в ОС Android, требует одобрения пользователя через диалоговые окна. Получив специальные возможности и привилегии администратора, Black Rose принимает системные запросы, имитируя нажатия на экран, и таким образом полностью контролирует скомпрометированное устройство.

Приложение выгружается из памяти всякий раз, когда жертва включает экран телефона и восстанавливает егоработу после выключения. Таким образом зловред получает возможность осуществлять все необходимые действия, не привлекая внимание владельца устройства. Изначально Black Rose Dropper был ориентирован на установку APK-файлов, однако позже его функционал был доработан для доставки объектов DEX, которые внедряются в систему «на лету».

Вредоносная программа находит и пытается выгрузить из памяти антивирусные приложения и другие защитные механизмы. Обнаружив потенциально опасную для себя службу, Black Rose старается закрыть ее, имитируя несколько последовательных нажатий на кнопки «Назад» и «Домой». Точно так же ботнет блокирует возможность сброса настроек телефона к заводским установкам. Исследователи отмечают, что такой подход проще в реализации и неотличим от действий обычного пользователя.

По мнению экспертов, в данный момент авторы ботнета стараются продемонстрировать его возможности потенциальным покупателям. Несмотря на то, что за вредоносной сетью стоит русскоязычная криминальная группа, создатели Black Rose Lucy определенно имеют глобальные амбиции. Интерфейс панели управления переведен на английский и турецкий языки, а среди антивирусов, которые обнаруживает клиентская часть системы, есть ряд китайских разработок.

Исследователи пока не выяснили канал первичного заражения, применяемый авторами Black Rose. Возможно, они, как и другие злоумышленники, используют отладочный интерфейс ADB. ИБ-специалисты отмечают возросшее количество обращений к порту 5555, который применяется для удаленного администрирования приложений. В июле этого года поисковик Shodan обнаруживал около 48 тыс. уязвимых к такой атаке устройств на базе Android.

Категории: Вредоносные программы, Хакеры