Компания Check Point® Software Technologies Ltd. обнаружила новый вариант вредоносного ПО семейства Black Rose Lucy. Блокируя данные пользователя, мошенники под видом ФБР США обвиняли жертву в хранении порнографического контента и требовали выплату штрафа в размере 500 долларов.
Lucy — ботнет Malware-as-a-Service (MaaS) и дроппер, который был предположительно создан в России и обнаружен исследователями Check Point впервые в 2018 году. Два года спустя вредонос Lucy вернулся с обновленными возможностями программы-вымогателя, которые позволяют ему заполучить контроль над устройствами с ОС Android, вносить различные изменения и устанавливать новые вредоносные приложения.
Операционная система Android позволяет наделить приложение привилегиями администратора только после того, как пользователь вручную сделает это в настройках. Для этого программа просит пользователя дать свое согласие во всплывающем окне или посредством установки системных настроек. Однако служба специальных возможностей Android может имитировать клики пользователя и автоматизировать взаимодействие между пользователем и устройством, что может быть использовано вредоносным ПО для обхода настроек безопасности. Службы специальных возможностей обычно используются, чтобы позволить пользователям автоматизировать и упростить определенные повторяющиеся задачи. В случае с Lucy, эти службы стали ахиллесовой пятой в системе защиты Android.
Проникнув в устройство пользователя, Lucy отображает на экране сообщение с просьбой разрешить установку сервиса для оптимизации видеопроигрывателя — SVO (Streaming Video Optimization). Дав свое согласие, пользователь предоставляет вредоносному ПО право использовать службу специальных возможностей Android. Сразу после этого хакеры могут приступить к шифрованию данных устройства.
После загрузки на устройство Lucy выводит в окне браузера сообщение якобы от лица ФБР. В тексте говорится, что данные пользователя были отправлены в центр обработки данных департамента киберпреступности ФБР. В сообщении предъявляются обвинения в хранении порнографического контента на устройстве, а также в совершении юридических преступлений, в связи с чем необходимо выплатить штраф. Хакеры запрашивают выкуп в 500 долларов, для этого необходимо ввести данные кредитной карты, что нехарактерно для стандартных программ-вымогателей. Обычно создатели такого вредоносного ПО требуют выкуп в криптовалюте.