برنامج هيرودوت الخبيث للأجهزة المحمولة
اكتشف باحثون أمنيون برنامجًا خبيثًا جديدًا يُسمى Herodotus، يستهدف البنوك على نظام أندرويد، ويُستخدم في حملات الاستيلاء على الأجهزة (DTO). ولوحظ نشاط مبكر يستهدف المستخدمين في إيطاليا والبرازيل، وتشير التحليلات إلى أن البرنامج الخبيث يُقدم كخدمة (MaaS).
جدول المحتويات
قطارة كروم وهمية، ورسائل نصية قصيرة، وتحميل جانبي
يوزع المُشغِّلون فيروس هيرودوتس عبر تطبيقات مُرسِلة تُنتحل صفة تطبيقات شرعية (يُقال إنها تُخفي اسم جوجل كروم بأسماء حزم مثل com.cd3.app) وتستدرج الضحايا عبر التصيد الاحتيالي عبر الرسائل النصية القصيرة وغيرها من أساليب الهندسة الاجتماعية. بمجرد تثبيت التطبيق المُرسِل (غالبًا من خلال التحميل الجانبي)، يقوم بجلب الحمولة الخبيثة وتثبيتها.
قدرات هيرودوت
- إساءة استخدام خدمات إمكانية الوصول في نظام Android للتحكم في الشاشة وتقديم تراكبات غير شفافة وعرض صفحات تسجيل دخول مزيفة عبر تطبيقات الخدمات المصرفية والعملات المشفرة.
- اعتراض واستخراج المحتوى الموجود على الشاشة والرسائل النصية القصيرة (بما في ذلك رموز 2FA).
- منح نفسه أذونات إضافية، والتقاط أرقام التعريف الشخصية أو الأنماط الخاصة بشاشة القفل، وتثبيت ملفات APK عن بعد، والاستمرار داخل الجلسات المباشرة بدلاً من مجرد سرقة بيانات الاعتماد الثابتة.
- سجل ضغطات المفاتيح، وبث الشاشات، وقم بإجراء عمليات الإدخال عن بعد لتنفيذ الاستحواذ على الحساب.
إضفاء طابع إنساني على عمليات الاحتيال عن بُعد للتغلب على أجهزة الكشف السلوكية
الميزة الأبرز لبرنامج هيرودوت هي محاولته محاكاة توقيت التفاعل البشري. يستطيع البرنامج الخبيث إضافة تأخيرات عشوائية بين أحداث الإدخال الآلية (نطاق التأخير المُبلغ عنه يتراوح بين 300 و3000 ميلي ثانية)، مما يجعل الكتابة عن بُعد أشبه بمستخدم حقيقي وأقل شبهًا بسرعة الآلة - وهي محاولة واضحة لتجاوز أنظمة مكافحة الاحتيال والكشف البيومتري القائمة على التوقيت أو السلوك. يُوصف هذا التوزيع العشوائي للتوقيت بأنه محاولة متعمدة لهزيمة الدفاعات التي تعتمد بشكل أساسي على إيقاع الإدخال وإيقاع ضغطات المفاتيح.
اتصالات إلى بروكويل
يُظهر التحليل أن Herodotus ليس مجرد نسخة جديدة من Brokewell، بل يبدو أنه أعاد استخدام التقنيات وأجزاء التعليمات البرمجية (بما في ذلك طرق التعتيم والمراجع الحرفية مثل العلامات مثل 'BRKWL_JAVA') من Brokewell وعائلات أخرى - مما أدى بشكل فعال إلى خياطة المكونات المعروفة في سلالة جديدة تم تطويرها بنشاط.
النطاق الجغرافي والأهداف
استعاد الباحثون صفحاتٍ مُصممة خصيصًا لبنوك في الولايات المتحدة وتركيا والمملكة المتحدة وبولندا، ولمحافظ ومنصات تداول العملات المشفرة، مما يُشير إلى أن المُشغلين يُوسّعون نطاق استهدافهم الجغرافي والقطاعي ليتجاوز ما تم رصده في إيطاليا والبرازيل. المشروع قيد التطوير النشط، ويُسوّق لمُجرمي احتيال آخرين عبر منتديات سرية.
إجراءات عملية لتحديد الأولويات
- تعامل مع حلول مكافحة الاحتيال التي تعتمد على السلوك فقط باعتبارها إشارة واحدة في دفاع متعدد الطبقات: اجمع بين وضع الجهاز، وفحوصات السلامة (الكشف عن إساءة استخدام إمكانية الوصول والتطبيقات المحملة جانبيًا)، وقياس عن بعد للشبكة، وتسجيل مخاطر المعاملات.
- اكتشاف وحظر عمليات التحميل الجانبي وتثبيتات الحزم غير المصرح بها؛ ومراقبة النوافذ المتراكبة المشبوهة واستخدام خدمة إمكانية الوصول على نقاط النهاية.
- فرض مصادقة قوية متعددة العوامل (الدفع أو الرموز المادية عبر الرسائل النصية القصيرة حيثما أمكن)، وتعزيز الأجهزة، وتحديثات نظام التشغيل/التطبيق في الوقت المناسب.
- تنفيذ قيود المعاملات والتحقق الثانوي للإجراءات عالية المخاطر التي يمكن إساءة استخدامها أثناء جلسة مباشرة.
خلاصة تقنية
بخلاف أحصنة طروادة البسيطة التي تسرق بيانات الاعتماد، صُمم هيرودوتس ليبقى نشطًا أثناء الجلسات المباشرة، وليقوم بعمليات استحواذ عن بُعد على الحسابات مع الحفاظ على الجلسة. وهذا يجعل الكشف الفوري والتخفيف أثناء الجلسة (على سبيل المثال، الكشف عن التراكبات، وأنماط الإدخال غير المعتادة التي لا تتوافق مع حالة الجهاز، أو بث الشاشة المتزامن) أمرًا بالغ الأهمية.
