新恶意软件即服务BlackRoseLucy现身，中国可能是下一个攻击目标

现在购买骇客的攻击服务，也像购买云端服务一样方便了，资安业者Check Point发现一个名为Black Rose Lucy的全新恶意软件即服务（Malware-as-a-Service，MaaS），由The Lucy Gang俄国团队所开发，虽然这个MaaS服务还在发展的早期阶段，但是Check Point认为，只需要一些时间，Black Rose Lucy便能发展成网络攻击的瑞士刀。

近年来网络犯罪逐渐走向专业化，在网络雇用佣兵或是购买MaaS，作为进行恶意攻击的一种手段，Check Point提到，许多有心人士倾向雇用小型拥有特殊专业技能的团队，而非具备攻击技能组合完整的全功能团队，而这些有心人士以类似购买云端服务的方式，购买这些恶意软件服务。

这个MaaS乍看之下是一个恶意套件工具包，包含了远端控制仪表板Lucy Loader，用来控制整个僵尸网络的受骇装置和主机，还可用来部署其他的恶意负载（Payload），另一个工具则是Black Rose Dropper，针对Android装置设计来收集装置资料、监听远端命令、控制C&C服务器，并且安装来自C&C服务器发送的恶意软件。

在Check Point发现的Lucy Loader实体中，系统正控制着位于俄罗斯的86台装置，感染日期显示为2018年8月初，Lucy Loader仪表板还有世界地图界面，为骇客显示僵尸网络的地理位置概览，骇客可以透过仪表板界面上传恶意软件，并将其推送至整个僵尸网络中。而Black Rose Dropper会伪装成Android系统升级或图片档案，Check Point所收集到的样本，则会利用系统的无障碍服务来安装有效负载，过程完全不需要用户参与，并且会形成自我保护的机制。

Black Rose Dropper安装完成后，会立刻隐藏其图标，并且向系统注册监控服务，在60秒后，监控服务会向用户显示警示讯息，声称受害者装置有安全危机，要求使用者替名为系统安全的应用程序启用Android无障碍功能，而事实上这个系统安全应用程序正是Black Rose Dropper，他会不停地要求受害者授予权限，直到达成目的。只要Black Rose Dropper取得无障碍功能权限后，就能给予自己系统管理员权限，以便能在其他应用程序画面前显示视窗，并且忽略Android电池最佳化权限，以避免被节电政策消灭。

监视服务会在每次使用者关闭和开启屏幕时重新启动，以确保恶意软件服务总是有效的。Check Point表示，目前这个阶段，监控服务的行为主要都是从C&C服务器获取APK档案后安装，并将日志档送回C&C服务器，内容包括装置状态、Black Rose执行的状态以及任务执行的状态资料。

由于Android的无障碍服务可以模拟使用者点击屏幕事件，而这是Black Rose之所以能够执行恶意活动的关键因素，一旦无障碍功能启动后，Black Rose便会透过切换屏幕模拟使用者点击事件，迅速的授予自己系统管理员权限。在部分Black Rose的样本中存在自我保护机制，会积极的检测系统是否存在安全工具，在必要的时候停用这些应用程序。

在Check Point整个调查过程中，Black Rose Lucy还推出了新版本，显示The Lucy Gang团队正积极地维护并改进这个工具。新版本Black Rose Dropper加强了控制通讯能力，新版本的Lucy Loader仪表板则将僵尸网络改采用DEX负载而非APK，强化恶意软件入侵能力。

目前Black Rose Dropper支援英语、土耳其语和俄语使用者界面，且仪表板中显示，模拟的受害者位在法国、以色列和土耳其，Check Point认为骇客已经在这些地方向有兴趣的买家进行了展示，因此Black Rose Lucy目标的范围应该不只俄罗斯，而且由于Black Rose Lucy还对小米手机进行特殊逻辑处理，其中的自我保护机制还特别针对中国安全和系统应用进行特化，因此下一个目标是中国的可能性非常大。