Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós mòbil Programari maliciós per a mòbils d'Heròdot

Programari maliciós per a mòbils d'Heròdot

El Mezo el Programari maliciós mòbil, Troià bancari
Traduir a:

Investigadors de seguretat han descobert un nou troià bancari d'Android anomenat Herodotus que s'utilitza en campanyes actives de presa de control de dispositius (DTO). S'ha observat una activitat inicial dirigida a usuaris d'Itàlia i Brasil, i l'anàlisi indica que el programari maliciós s'ofereix com a programari maliciós com a servei (MaaS).

Detector de penjolls cromat fals, SMiShing i càrrega lateral

Els operadors distribueixen Herodotus a través d'aplicacions dropper que suplanten aplicacions legítimes (que suposadament es fan passar per Google Chrome amb noms de paquets com com.cd3.app) i atrauen les víctimes mitjançant SMS de phishing i altres vectors d'enginyeria social. Un cop instal·lat el dropper (sovint mitjançant càrrega lateral), aquest recupera i instal·la la càrrega útil maliciosa.

Capacitats d’Heròdot

  • Abusar dels serveis d'accessibilitat d'Android per controlar la pantalla, presentar superposicions opaques i mostrar pàgines d'inici de sessió falses a través d'aplicacions bancàries i de criptografia.
  • Interceptar i exfiltrar contingut en pantalla i missatges SMS (inclosos codis 2FA).
  • S'atorga permisos addicionals, captura PIN o patrons de pantalla de bloqueig, instal·la APK remots i persisteix dins de sessions en directe en lloc de simplement robar credencials estàtiques.
  • Registra les pulsacions de tecles, reprodueix pantalles en temps real i realitza accions d'entrada remotes per dur a terme la presa de control del compte.

“Humanitzar” el frau remot per superar els detectors de comportament

La característica destacada d'Heròdot és el seu intent d'imitar el temps d'interacció humana. El programari maliciós pot afegir retards aleatoris entre esdeveniments d'entrada automatitzats (rang de retard reportat ~300–3.000 mil·lisegons) de manera que l'escriptura remota s'assembla més a la d'un usuari real i menys a la velocitat d'una màquina, un clar esforç per eludir la detecció biomètrica i antifrau basada en el temps o el comportament. Aquesta aleatorització del temps es descriu com un intent deliberat de derrotar les defenses que es basen principalment en el tempo d'entrada i la cadència de les pulsacions de tecles.

Connexions amb Brokewell

L'anàlisi mostra que Heròdot no és simplement una nova versió de Brokewell, sinó que sembla que ha reutilitzat tècniques i fragments de codi (inclosos mètodes d'ofuscació i referències literals com ara marcadors com ara "BRKWL_JAVA") de Brokewell i altres famílies, unint eficaçment components coneguts en una nova soca desenvolupada activament.

Àmbit geogràfic i objectius

Els investigadors han recuperat pàgines superposades adaptades per a bancs dels EUA, Turquia, el Regne Unit i Polònia, i per a moneders i borses de criptomonedes, la qual cosa demostra que els operadors estan ampliant la geografia i els mercats objectiu més enllà dels albiraments inicials a Itàlia i el Brasil. El projecte està en desenvolupament actiu i es comercialitza a altres actors fraudulents a través de fòrums clandestins.

Accions pràctiques a prioritzar

  • Tracteu les solucions antifrau només de comportament com un sol senyal en una defensa per capes: combineu la postura del dispositiu, les comprovacions d'integritat (detecció d'abús d'accessibilitat i aplicacions carregades lateralment), la telemetria de xarxa i la puntuació del risc de transacció.
  • Detectar i bloquejar la càrrega lateral i les instal·lacions de paquets no autoritzades; supervisar les finestres de superposició sospitoses i l'ús del servei d'accessibilitat als punts finals.
  • Aplicar una forta autenticació multifactor (push o tokens de maquinari a través d'SMS sempre que sigui possible), endurir el dispositiu i actualitzacions puntuals del sistema operatiu/aplicacions.
  • Implementar limitacions de transacció i verificació secundària per a accions d'alt risc que es podrien abusar durant una sessió en directe.

Conclusió tècnica

A diferència dels simples troians de recol·lecció de credencials, Herodotus està dissenyat per romandre actiu durant les sessions en directe i per dur a terme preses de control de comptes remotes que preserven la sessió. Això fa que la detecció en temps real i les mitigacions durant la sessió (per exemple, la detecció de superposicions, patrons d'entrada inusuals que són inconsistents amb l'estat del dispositiu o la transmissió simultània de pantalla) siguin especialment importants.

Tendència

Més vist

Carregant...