کمیته رکن چهارم – بهتازگی یک بدافزار اندرویدی به نام «Black Rose Lucy» کشف شده است که در قالب بسته بدافزاری، بهعنوان سرویس «malware-as-a-service» یا (MaaS) ارائه میشود.
بسته بدافزاری که اخیرا کشف شده ،دارای دو قسمت است، قسمت اول یک رابط وب است (که به عنوان داشبورد و سرور کنترل و فرمان عمل میکند) و قسمت دوم که سیستمهای اندرویدی را هدف قرار میدهد.
گروهی که این بدافزار را تولید کرده است، گروه Lucy Gang است که به تازگی فعالیتهای مخرب خود را شروع کرده است.
بدافزار اندرویدی Black Rose عمدتا نقش یک dropper را بازی میکند، که دارای قابلیت دریافت و نصب مخفیانه بدنههای مخرب مانند سرقت اطلاعات SMS و لیست مخاطبین است که از داشبورد Lucy (سرور C&C) ارسال میشوند. بدافزار به گونهای ایجاد شده است که استفادهکنندگان از آن میتوانند بدنههای مخرب خود را توسط آن بارگذاری کنند.
استفاده از بدافزار برای خریدار آن بسیار ساده است. با پرداخت هزینه بدافزار به گروه توسعهدهنده، آنها یک سرور C&C در اختیار خریدار میگذارند، سپس بدافزار اندرویدی را پیکربندی میکنند و اطلاعات ورود به سرور را به خریدار ارسال میکنند.
شایان ذکر است که Black Rose Lucy دارای مکانیزمهای محافظت کننده قابل توجهی است، از جمله بررسی وجود ابزارهای امنیتی در دستگاه. همچنین بدافزار قابلیت تنظیم مجدد به تنظیمات کارخانه را نیز مسدود میکند. هرگاه قربانی سعی کند تا گزینه تنظیمات کارخانه را در تنظیمات دستگاه باز کنند، Black Rose به سرعت دکمه «خانه» و «بازگشت» را فشار میدهد.
بدافزار از تکنیکهای مختلفی برای توزیع استفاده میکند، از جمله مخفی شدن در قالب فایلهای image یا فایلهای APK مربوط به بروزرسانی سیستم و استفاده از تکنیک Man-in-the-Disk. Black Rose در حال حاضر از زبانهای انگلیسی، ترکی و روسی در رابط کاربری خود پشتیبانی میکند، داشبورد Lucy نیز دارای زبانهای روسی و انگلیسی است. نشانههایی از زبان چینی نیز در آن مشاهده شده است.
