Herodotus mobil malware

Sikkerhedsforskere har afdækket en ny Android-banktrojan ved navn Herodotus, der bruges i aktive enhedsovertagelseskampagner (DTO). Tidlig aktivitet er blevet observeret rettet mod brugere i Italien og Brasilien, og analyser tyder på, at malwaren tilbydes som Malware-as-a-Service (MaaS).

Falsk Chrome Dropper, SMiShing og sidebelastning

Operatører distribuerer Herodot via dropper-applikationer, der udgiver sig for at være legitime apps (angiveligt forklædt som Google Chrome med pakkenavne som com.cd3.app) og lokker ofre via SMS-phishing og andre social engineering-vektorer. Når dropper-applikationen er installeret (ofte via sideloading), henter og installerer den den ondsindede nyttelast.

Herodots evner

• Misbrug Android Accessibility-tjenester til at styre skærmen, præsentere uigennemsigtige overlejringer og vise falske login-sider oven på bank- og kryptoapps.
• Opfange og fjerne indhold på skærmen og SMS-beskeder (inklusive 2FA-koder).
• Giv sig selv ekstra tilladelser, indfang pinkoder eller mønstre på låseskærmen, installer eksterne APK'er og behold aktiveringen i livesessioner i stedet for blot at stjæle statiske loginoplysninger.
• Log tastetryk, stream skærmbilleder og udfør fjerninputhandlinger for at udføre kontoovertagelse.

'Humanisering' af fjernsvindel for at bekæmpe adfærdsdetektorer

Herodots' enestående funktion er dens forsøg på at efterligne timing af menneskelig interaktion. Malwaren kan tilføje tilfældige forsinkelser mellem automatiserede inputhændelser (rapporteret forsinkelsesområde ~300-3.000 millisekunder), så fjernskrivning ligner mere en rigtig brugers og mindre en maskinhastighed – et klart forsøg på at omgå timing- eller adfærdsbaseret anti-svindel og biometrisk detektion. Denne timing-randomisering beskrives som et bevidst forsøg på at omgå forsvar, der primært er afhængige af inputtempo og tastetrykkadence.

Forbindelser til Brokewell

Analyse viser, at Herodot ikke blot er en ny version af Brokewell, men at den ser ud til at have genbrugt teknikker og kodefragmenter (herunder obfuskationsmetoder og bogstavelige referencer såsom markører som 'BRKWL_JAVA') fra Brokewell og andre familier — og effektivt sammenføjet kendte komponenter til en ny, aktivt udviklet stamme.

Geografisk omfang og mål

Forskere har fundet overlay-sider, der er skræddersyet til banker i USA, Tyrkiet, Storbritannien og Polen, samt til kryptovaluta-tegnebøger og -børser – bevis på, at operatørerne udvider deres målgeografi og vertikaler ud over de oprindelige observationer i Italien/Brasilien. Projektet er aktivt under udvikling og markedsføres til andre svindelaktører via undergrundsfora.

Praktiske handlinger at prioritere

• Behandl adfærdsbaserede anti-svindelløsninger som ét signal i et lagdelt forsvar: kombiner enhedsstatus, integritetstjek (opdag misbrug af tilgængelighed og sideindlæste apps), netværkstelemetri og risikoscoring for transaktioner.
• Registrer og bloker sideindlæsning og uautoriserede pakkeinstallationer; overvåg mistænkelige overlay-vinduer og brug af tilgængelighedstjenester på slutpunkter.
• Håndhæv stærk multifaktor-godkendelse (push- eller hardwaretokens via SMS, hvor det er muligt), enhedshærdning og rettidige OS-/app-opdateringer.
• Implementer transaktionsbegrænsninger og sekundær verifikation for højrisikohandlinger, der kan misbruges under en livesession.

Teknisk konklusion

I modsætning til simple trojanere, der indsamler legitimationsoplysninger, er Herodotus designet til at forblive aktiv under live-sessioner og til at udføre eksterne, sessionsbevarende kontoovertagelser. Det gør detektion i realtid og afhjælpning af sessioner (f.eks. detektering af overlays, usædvanlige inputmønstre, der er inkonsistente med enhedens tilstand, eller samtidig skærmstreaming) særligt vigtig.