This Russian botnet mimics your click to prevent Android device factory resets

Black Rose Lucy บอตเน็ตตัวใหม่จากรัสเซีย มีความสามารถในลอกเลียนแบบการกดปุ่มของผู้ใช้จึงสามารถป้องกันการทำ Factory reset บนอุปกรณ์แอนดรอยด์
จากการทำวิจัยของ checkpoint บอตเน็ตชื่อ Black Rose Lucy นี้ได้รับการพัฒนาจากกลุ่มแฮกเกอร์ที่ใช้ภาษารัสเชียในการสื่อสารหรือที่รู้จักกันชื่อ "The Lucy Gang" และได้ปล่อยตัวอย่างให้ผู้ที่กำลังมองหาบริการ Malware-as-a-Service (Maas) ได้เอาไปใช้งาน บอตเน็ตเป็นหนามยอกอกของบริษัทรักษาความปลอดภัยทางไซเบอร์ ผู้ให้บริการโฮสเว็บไซต์ หรือธุรกิจอื่นๆ ที่คล้ายกัน โดยระบบของบอตเน็ตทั่วไปสร้างขึ้นมาเพื่อยึดเครื่องเป้าหมายซึ่งรวมไปถึงโทรศัพท์, IOT, gadgets และคอมพิวเตอร์ แล้วรับคำสั่งจาก command-and-control (C2) เซิร์ฟเวอร์เช่นส่ง spam อีเมลล์หรือทำ DDos
Black Rose Lucy เองก็คล้ายกับบอตเน็ตอื่นๆ แต่มีความสามารถในการโจมตีอุปกรณ์ที่ใช้แอนดรอยโดยเฉพาะ โดยเมื่อถูกติดตั้ง จะส่งข้อความแจ้งเตือนผู้ใช้ให้เปิดสิทธิการใช้งานให้กับแอปที่ชื่อว่า Security of the system

หากผู้ใช้หลงเชื่อจะเป็นการให้สิทธิ์ระดับแอดมินของระบบให้กับ Black Rose Lucy ซึ่งจะทำการลอกเลียนแบบการกดปุ่มของผู้ใช้ และทำการติดตั้ง payload ที่ชื่อว่า "Black Rose Dropper" เพิ่มลงไปในอุปกรณ์แอนดรอยด์แล้วส่งข้อมูลกลับไปยังเชิฟเวอร์แฮกเกอร์ Dropper จะปลอมตัวเป็นไฟล์อัพเกรดระบบหรือไฟล์ภาพ
เนื่องจากบอตเน็ตดังกล่าวมีสิทธิ์แอดมิน จึงสามารถทำงานอยู่เบื้องหลังได้ รวมถึงสามารถสั่ง restart เครื่องที่ติดเชื้อเมื่อเครื่องถูกปิดได้ และยังมีกลไกป้องกันตัวเองที่จะตรวจสอบเครื่องมือเกี่ยวกับการป้องกันหรือเคลียร์ไฟล์หรือระบบป้องกันจากประเทศจีน เมื่อเจอเครื่องมือดังกล่าวบอตเน็ตจะปลอมการกดปุ่มของผู้ใช้ด้วยการกดปุ่มกลับหรือปุ่มโฮม เพื่อไม่ให้ผู้ใช้สามารถใช้เคืร่องมือเหล่านั้นได้ และป้องกันการทำ Factory reset ในทำนองเดียวกัน
มัลแวร์ดังกล่าวมีทั้งภาษารัสเซีย อังกฤษ และตุรกี ทำให้นักวิจัยคาดว่ามัลแวร์ตัวนี้วางแผนที่จะแพร่ไปทั่วโลก

ที่มา : zdnet

Read more