Noll
En ny “swiss army knife” botnet med ursprung från Ryssland har vuxit fram i Skadlig programvara-som-en-Tjänst (MaaS) arena, försöker pracka på Android-baserade nyttolaster till potentiella cybercriminal kunder.
Enligt forskare från Check Point, botnät har utvecklats av en grupp av ryska hackare känd som “Lucy Gang” och demonstrationer har redan lämnats till potentiella abonnenter att systemet söker efter Skadlig programvara-som-en-Tjänst (MaaS) lösningar.
Botnät är en nagel i ögat för cybersäkerhet företag, webbhotell, och vardagen för företag. Systemen består av förslavade enheter, inklusive mobila enheter, Internet of Things (IoT), prylar och Datorer.
TechRepublic: 6 anledningar varför vi har misslyckats med att stoppa botnät
Dessa produkter är utfärdat kommandon genom ett kommando-och-kontroll (C2) server som kontrolleras av botnät operatören att utföra en mängd olika skadliga aktiviteter, bland annat massa spam e-post kampanjer och distribuerade denial-of-service (DDoS) kampanjer.
Detta botnet är inte annorlunda, security team sade i ett blogginlägg. Men Black Rose Lucy verkar vara en specialist system för att kompromissa enheter verksamma på Googles Android-operativsystem.
Om Android-enheter är inte jailbreakad, security systems i OS kräver att användarna att aktivt ge apps medgivande och tillstånd att utföra känsliga funktioner eller samla in användardata.
Men forskarna säger att Black Rose Lucy tar fördel av Android-tillgänglighet-tjänsten för att lura offer till ett godkännande för tjänsten, vilket leder till installation av skadlig APK-filer.
Black Rose Lucy register med Monitor service efter installationen. Efter en minut har gått, skadlig kod visas en varning som påstår enheten är i fara och begär att offret aktivera Android tillgänglighet service för en app som heter “Säkerhet i systemet.”
Check Point
Om aktiverad, offren är då skyldig att ge enheten admin förmånen att Black Rose, behörighet för att visa windows på toppen av andra program, och förmågan att ignorera Android batteri funktioner optimering.
“Eftersom Android tillgänglighet-tjänsten kan efterlikna en användare på skärmen klicka på, detta är det avgörande för Black Rose för att utföra skadliga aktiviteter,” forskarna säger. “När du tar emot APK-filer från C2 server, Black Rose bedriver installationer av samma teknik, som går genom installationen steg genom att simulera användaren klickar på.”
Botnät kompromisser av “Lucy Loader,” en avlägsen dashboard som tillåter operatörerna att granska och kontrollera äventyras enheter som är anslutna till nätverk, liksom att sätta in ytterligare malware nyttolast.
Check Point
Ett urval av skadlig kod som är säkrade genom den forskning som laget visade en botnet-setup där 86 förslavade enheter. Infektioner är mycket nyligen och började i augusti i år.
CNET: FBI vill du att starta om din router NU för att hjälpa till att förstöra en botnet
Botnät används i “Black Rose Dropper,” en malware nyttolast som specifikt riktar sig till mobila Android-enheter, skörda offer av data och installation av malware nyttolaster som utfärdats av C2.
Pipetten filer dölja sig antingen som Android-system uppgraderingar eller bildfiler. Android-tillgänglighet-tjänsten missbrukas för att installera dessa nyttolaster utan interaktion med användaren eller samtycke.
Behörighet och med ytterligare nyttolast, botnät och sätter sedan upp bakgrunden system för att upprätthålla uthållighet, inklusive en omstart när den infekterade enheten stängs av eller på.
Se även: Bisarra botnet infekterar din DATOR för att skrubba bort cryptocurrency gruv-malware
Det finns också ett antal självförsvar mekanismer obs, inklusive kontroller för populära säkerhet verktyg och rengöringsmedel, samt Kinesiska skyddande lösningar.
Som botnet av kapital klicka på mimicry genom att tillgängligheten till service, om en av dessa produkter finns, malware försök att “tillbaka” eller “hem” – knappen klicka för att avsluta verktyget — eller åtminstone hindra offret från att använda dem.
Samma teknik används för att förhindra fabrik återställs från att ta plats.
Som dropper stöds i ryska, engelska och turkiska, säkerhetsgruppen anser botnät aktörer är det mycket sannolikt att man vill komma in på den globala scenen.
I synnerhet Kina har åtalats som ett potentiellt område mogen för att utnyttja, med tanke på att botnet är skaparna har tillbringat en lång tid för att arbeta ut hur man kringgå Kinesiska säkerhet och system i bakgrunden.
“Samtidigt kan det väl ändå vara i ett tidigt skede, med tanke på tiden det skulle lätt kunna bli en ny it-swiss army kniv som gör att hela världen hacker grupper för att iscensätta ett brett utbud av attacker,” Check Point sagt.
Tidigare och relaterade täckning
Mirai, Gafgyt IoT botnät hugg system med Apache Struts, SonicWall utnyttjar Datorer fortfarande infekterad med Andromeda botnet malware, trots takedown Necurs botnet lanserar nytt angrepp mot bankerna
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0