A operação combina um dropper Android, abuso de acessibilidade, painel de controle remoto e entrega de cargas adicionais para transformar dispositivos infectados em uma botnet comercializável.
| Componente | Black Rose Dropper em Android e painel Lucy Loader para controle de botnet e distribuição de cargas adicionais. |
| Vetor | Aplicativos disfarçados como atualização do sistema Android ou arquivos de imagem induzem a vítima a habilitar o serviço de acessibilidade. |
| Impacto | Após obter permissões, o malware pode instalar cargas APK ou carregar payloads DEX, manter persistência operacional e dificultar uso de ferramentas de segurança e redefinição de fábrica. |
| Prioridade | Investigar dispositivos Android com permissões anômalas de acessibilidade, administrador do dispositivo, sobreposição de tela e exclusão de otimização de bateria. |
| Artefatos | A operação observada inclui o dropper Black Rose, o serviço de monitoramento, comunicação com C&C, logs de status do dispositivo e painel Lucy Loader. |
| Alcance | Uma instância observada controlava 86 dispositivos na Rússia, com infecções recentes a partir do início de agosto de 2018. |
Black Rose Lucy é uma operação de malware para Android estruturada como malware como serviço. O ecossistema descrito combina dois componentes centrais: o Black Rose Dropper, responsável por comprometer e preparar o dispositivo, e o Lucy Loader, painel remoto usado para visualizar a botnet, distribuir cargas adicionais e receber registros de execução. A atividade foi associada a uma equipe de língua russa chamada Lucy Gang, que estaria demonstrando o produto para possíveis clientes criminosos. O material analisado indica uma plataforma ainda em evolução, mas já desenhada para escalar ataques por meio de dispositivos Android previamente infectados.
A operação não depende apenas da instalação inicial do aplicativo malicioso. O ponto técnico mais relevante é o abuso do serviço de acessibilidade do Android. Esse recurso existe para automatizar interações legítimas e facilitar o uso do sistema, mas, quando habilitado para um aplicativo malicioso, permite simular toques e navegar por telas sensíveis. No caso do Black Rose, essa capacidade é usada para conceder privilégios adicionais, avançar por telas de instalação, contornar barreiras de consentimento e manter o serviço ativo. O resultado é uma cadeia em que a engenharia social inicial abre caminho para ações automatizadas no próprio aparelho.
A instância observada do Lucy Loader mostrava 86 dispositivos controlados na Rússia, com datas de infecção recentes iniciadas no começo de agosto de 2018. O painel também apresentava visão geográfica da botnet e capacidade de envio de malware para dispositivos em massa, conforme a seleção do operador. A versão mais recente observada passou a usar domínio para comunicação com o servidor de C&C, em vez de depender diretamente de endereço IP, e também passou a adotar cargas DEX, que podem ser carregadas dinamicamente, em vez de exigir a instalação tradicional de arquivos APK.
As amostras do dropper foram vistas disfarçadas como atualização do sistema Android ou como arquivos de imagem. Depois da instalação, o aplicativo oculta seu ícone e registra um serviço de monitoramento. Cerca de 60 segundos depois, o serviço exibe uma janela de alerta informando que o dispositivo estaria em perigo e pressiona a vítima a habilitar a acessibilidade para um aplicativo apresentado como “Security of the system”. Esse nome se refere ao próprio dropper, não a um componente legítimo do sistema. O pedido é repetido até que o serviço de acessibilidade seja concedido.
Com a acessibilidade habilitada, o Black Rose automatiza interações na tela para adquirir privilégios que aumentam seu controle sobre o aparelho. A cadeia observada inclui concessão de administrador do dispositivo, permissão para exibir janelas sobre outros aplicativos e autorização para ignorar a otimização de bateria do Android. Essas permissões, combinadas, permitem que o malware mostre alertas persistentes, reduza a chance de encerramento pelo sistema e mantenha condições para instalar ou acionar novas cargas enviadas pelo controlador remoto.
O serviço de monitoramento também implementa uma forma simples de persistência operacional. Ele registra procedimentos para reiniciar a si mesmo quando a tela do dispositivo é ligada ou desligada. Essa técnica não exige exploração sofisticada do núcleo do sistema, mas aumenta a disponibilidade do componente malicioso durante o uso cotidiano do telefone. Em seguida, o serviço estabelece comunicação inicial com o servidor de C&C, recebe tarefas relacionadas à instalação de arquivos e envia logs contendo estado do dispositivo, saúde do Black Rose e resultados de execução.
A evolução para cargas DEX amplia a flexibilidade do operador. Arquivos APK normalmente exigem instalação como aplicativo, o que cria mais fricção operacional e mais pontos visíveis para o usuário e para a defesa. Cargas DEX, por outro lado, podem ser carregadas dinamicamente pelo aplicativo que já está no dispositivo, reduzindo a dependência de um fluxo completo de instalação. No contexto da botnet, isso torna o painel mais útil para operadores que desejam trocar funcionalidades ou entregar módulos adicionais sem depender sempre de um novo pacote instalável.
A superfície exposta é composta por dispositivos Android nos quais o usuário instala o dropper e concede o serviço de acessibilidade. O sistema Android exige consentimento explícito para permissões sensíveis, como administrador do dispositivo, mas o abuso de acessibilidade transforma a etapa posterior em uma sequência automatizada de cliques. Portanto, a pré-condição principal não é uma vulnerabilidade de execução remota no Android, e sim a combinação de disfarce do aplicativo, convencimento do usuário e concessão de um recurso poderoso que pode agir em nome da vítima na interface.
O Black Rose também contém lógica de autoproteção. Algumas amostras verificam se ferramentas gratuitas de segurança ou limpadores de sistema populares foram abertos. Quando detecta esse tipo de aplicativo, o malware simula ações equivalentes a voltar ou ir para a tela inicial, tentando impedir que a vítima interaja com a ferramenta. O mesmo comportamento foi observado contra o menu de redefinição de fábrica nas configurações do Android. Isso não remove a possibilidade de recuperação por procedimentos externos ou gerenciamento corporativo, mas dificulta ações manuais comuns realizadas pelo usuário no próprio aparelho.
O material analisado também aponta intenção de expansão geográfica. O painel apresentou vítimas simuladas na França, em Israel e na Turquia, e o dropper oferece interface em inglês, turco e russo. Há ainda lógica específica para MIUI, interface usada em aparelhos Xiaomi, além de atenção a ferramentas chinesas de segurança e limpeza de sistema. Esses elementos não confirmam infecções nesses mercados, mas indicam que o operador preparava o produto para ambientes além da Rússia e para dispositivos populares em regiões onde telefones chineses têm presença relevante.
- Dispositivos Android em que o usuário habilitou acessibilidade para o aplicativo malicioso.
- Aparelhos nos quais o dropper obteve administrador do dispositivo, sobreposição de tela e exclusão da otimização de bateria.
- Ambientes com baixa visibilidade de permissões de acessibilidade, ausência de MDM ou inventário incompleto de aplicativos instalados.
A investigação defensiva deve começar por permissões anômalas. Em frotas Android corporativas, o ponto de maior valor é correlacionar aplicativos recém-instalados com concessão de acessibilidade, administrador do dispositivo, sobreposição de tela e exclusão de otimização de bateria. A presença simultânea desses privilégios em um aplicativo que se apresenta como atualização do sistema, imagem ou utilitário genérico deve ser tratada como evento de alto risco. O nome “Security of the system” também é relevante como artefato observado, mas não deve ser o único critério de detecção, pois pode ser alterado por operadores.
No endpoint, sinais comportamentais incluem ocultação do ícone após instalação, janelas insistentes solicitando habilitação de acessibilidade, retorno inesperado para a tela inicial ao abrir ferramentas de segurança e incapacidade de acessar normalmente o menu de redefinição de fábrica. Em ambientes com telemetria de rede móvel ou proxy corporativo, a comunicação com C&C deve ser analisada a partir de conexões recorrentes de aplicativos desconhecidos, envio de logs de estado do dispositivo e busca de tarefas de instalação. O contexto informa a mudança de IP para domínio como referência operacional, mas não fornece um domínio específico a ser publicado.
Para equipes de resposta, a telemetria mais útil é a linha do tempo: instalação do aplicativo, primeira execução, ocultação do ícone, pedido de acessibilidade, concessão de permissões sensíveis, início de comunicação remota e tentativa de entrega de carga adicional. Essa sequência ajuda a diferenciar uma instalação incompleta de um comprometimento com controle ativo. Também ajuda a separar um usuário que apenas baixou o dropper de um dispositivo que já pode ter recebido payloads APK ou DEX por meio do painel remoto.
- Aplicativos não confiáveis com serviço de acessibilidade habilitado e permissões de administrador do dispositivo.
- Eventos de sobreposição de tela associados a alertas persistentes ou nomes que imitam componentes do sistema.
- Tentativas de bloquear ferramentas de segurança, limpadores de sistema ou acesso ao menu de redefinição de fábrica.
- Comunicação periódica de aplicativos desconhecidos com infraestrutura externa para receber tarefas e enviar logs.
A contenção deve priorizar a remoção do controle do malware sobre a interface do dispositivo. Em aparelhos gerenciados, a ação mais segura é usar capacidades de MDM para revogar permissões de acessibilidade, remover administrador do dispositivo, bloquear sobreposição de tela para o aplicativo suspeito e desinstalar o pacote. Quando o dispositivo já impede ações manuais pela interface, a resposta deve seguir procedimentos corporativos de recuperação, isolamento e reinstalação limpa, preservando evidências quando houver necessidade forense.
A prevenção depende de reduzir a probabilidade de concessão de acessibilidade a aplicativos não aprovados. Políticas corporativas devem restringir instalação fora de lojas e catálogos autorizados, exigir revisão de permissões sensíveis e alertar quando um aplicativo recém-instalado solicita acessibilidade sem justificativa funcional clara. Em BYOD, a abordagem deve combinar instrução objetiva ao usuário, detecção de configuração insegura e bloqueio condicional de acesso a recursos corporativos quando o dispositivo exibir sinais de comprometimento.
A erradicação deve considerar cargas adicionais. Como o Lucy Loader permite distribuir malware para a botnet, remover apenas o dropper pode ser insuficiente se o dispositivo recebeu outros módulos. A validação deve incluir inventário completo de aplicativos, revisão de serviços carregados dinamicamente, análise de permissões restantes e inspeção de tráfego recente. Contas acessadas pelo aparelho durante o período de comprometimento devem ser avaliadas quanto a risco, especialmente se o dispositivo tinha acesso a e-mail, mensagens corporativas, VPN, autenticação multifator ou armazenamento de documentos.
- Revogar acessibilidade, administrador do dispositivo, sobreposição de tela e exclusão de otimização de bateria para aplicativos suspeitos.
- Isolar dispositivos afetados de recursos corporativos até concluir inventário, limpeza e validação.
- Bloquear instalação de aplicativos fora de canais aprovados em frotas gerenciadas.
- Revisar contas usadas no dispositivo durante a janela de infecção e renovar sessões quando houver risco de abuso.
- Monitorar novas variantes que troquem
APKporDEXou passem a usar domínios diferentes para C&C.
0 Comentários