Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Κακόβουλο λογισμικό για κινητά Κακόβουλο λογισμικό Herodotus Mobile

Κακόβουλο λογισμικό Herodotus Mobile

Μέχρι το Mezo το Κακόβουλο λογισμικό για κινητά, Τραπεζικός Trojan
Μετάφραση σε:

Ερευνητές ασφαλείας ανακάλυψαν ένα νέο trojan τραπεζικών συναλλαγών Android με το όνομα Herodotus, το οποίο χρησιμοποιείται σε ενεργές εκστρατείες κατάληψης συσκευών (DTO). Έχει παρατηρηθεί πρώιμη δραστηριότητα που στοχεύει χρήστες στην Ιταλία και τη Βραζιλία και η ανάλυση δείχνει ότι το κακόβουλο λογισμικό προσφέρεται ως Malware-as-a-Service (MaaS).

Ψεύτικο Chrome Dropper, SMiShing και πλευρική φόρτωση

Οι χειριστές διανέμουν το Herodotus μέσω εφαρμογών dropper που μιμούνται νόμιμες εφαρμογές (αναφέρεται να μεταμφιέζονται σε Google Chrome με ονόματα πακέτων όπως com.cd3.app) και παρασύρουν τα θύματα μέσω SMS phishing και άλλων φορέων κοινωνικής μηχανικής. Μόλις εγκατασταθεί το dropper (συχνά μέσω πλευρικής φόρτωσης), ανακτά και εγκαθιστά το κακόβουλο ωφέλιμο φορτίο.

Ικανότητες του Ηροδότου

  • Κατάχρηση υπηρεσιών προσβασιμότητας Android για τον έλεγχο της οθόνης, την εμφάνιση αδιαφανών επικαλύψεων και την εμφάνιση ψεύτικων σελίδων σύνδεσης σε εφαρμογές τραπεζικών συναλλαγών και κρυπτονομισμάτων.
  • Αναχαίτιση και εξαγωγή περιεχομένου οθόνης και μηνυμάτων SMS (συμπεριλαμβανομένων των κωδικών 2FA).
  • Να παραχωρεί στον εαυτό του επιπλέον δικαιώματα, να καταγράφει PIN ή μοτίβα κλειδώματος οθόνης, να εγκαθιστά απομακρυσμένα APK και να παραμένει εντός ζωντανών περιόδων σύνδεσης αντί να κλέβει απλώς στατικά διαπιστευτήρια.
  • Καταγράψτε πληκτρολογήσεις, μεταδώστε οθόνες ροής και εκτελέστε ενέργειες απομακρυσμένης εισαγωγής για να πραγματοποιήσετε την ανάληψη λογαριασμού.

«Εξανθρωπισμός» της εξ αποστάσεως απάτης για να ξεπεράσει τους ανιχνευτές συμπεριφοράς

Το ξεχωριστό χαρακτηριστικό του Herodotus είναι η προσπάθειά του να μιμηθεί τον χρόνο αλληλεπίδρασης με τον άνθρωπο. Το κακόβουλο λογισμικό μπορεί να προσθέσει τυχαιοποιημένες καθυστερήσεις μεταξύ αυτοματοποιημένων συμβάντων εισόδου (αναφερόμενο εύρος καθυστέρησης ~300–3.000 χιλιοστά του δευτερολέπτου), επομένως η απομακρυσμένη πληκτρολόγηση μοιάζει περισσότερο με έναν πραγματικό χρήστη και λιγότερο με την ταχύτητα του μηχανήματος — μια σαφής προσπάθεια παράκαμψης της ανίχνευσης κατά της απάτης και της βιομετρικής ανίχνευσης που βασίζεται στον χρόνο ή τη συμπεριφορά. Αυτή η τυχαιοποίηση χρόνου περιγράφεται ως μια σκόπιμη προσπάθεια να νικηθούν οι άμυνες που βασίζονται κυρίως στον ρυθμό εισόδου και τον ρυθμό πλήκτρων.

Συνδέσεις με το Μπρόκγουελ

Η ανάλυση δείχνει ότι το Herodotus δεν είναι απλώς μια νέα έκδοση του Brokewell, αλλά φαίνεται να έχει επαναχρησιμοποιήσει τεχνικές και θραύσματα κώδικα (συμπεριλαμβανομένων μεθόδων συσκότισης και κυριολεκτικών αναφορών όπως δείκτες όπως 'BRKWL_JAVA') από το Brokewell και άλλες οικογένειες — ουσιαστικά συναρμολογώντας γνωστά στοιχεία σε ένα νέο, ενεργά αναπτυγμένο στέλεχος.

Γεωγραφικό Πεδίο και Στόχοι

Οι ερευνητές έχουν ανακτήσει σελίδες επικάλυψης προσαρμοσμένες για τράπεζες στις ΗΠΑ, την Τουρκία, το Ηνωμένο Βασίλειο και την Πολωνία, καθώς και για πορτοφόλια και ανταλλακτήρια κρυπτονομισμάτων — στοιχεία που αποδεικνύουν ότι οι πάροχοι διευρύνουν τη γεωγραφική στόχευση και τους κάθετους τομείς πέρα από τις αρχικές εμφανίσεις στην Ιταλία/Βραζιλία. Το έργο βρίσκεται υπό ενεργό ανάπτυξη και προωθείται στην αγορά σε άλλους φορείς απάτης μέσω υπόγειων φόρουμ.

Πρακτικές ενέργειες για την ιεράρχηση προτεραιοτήτων

  • Αντιμετωπίστε τις λύσεις κατά της απάτης που βασίζονται μόνο στη συμπεριφορά ως ένα ενιαίο σήμα σε μια πολυεπίπεδη άμυνα: συνδυάστε τη στάση της συσκευής, τους ελέγχους ακεραιότητας (ανίχνευση κατάχρησης προσβασιμότητας και εφαρμογών που φορτώνονται από το πλάι), την τηλεμετρία δικτύου και τη βαθμολόγηση κινδύνου συναλλαγών.
  • Εντοπίστε και αποκλείστε την πλευρική φόρτωση και τις μη εξουσιοδοτημένες εγκαταστάσεις πακέτων· παρακολουθήστε για ύποπτα παράθυρα επικάλυψης και χρήση υπηρεσιών προσβασιμότητας σε τελικά σημεία.
  • Επιβολή ισχυρού πολυπαραγοντικού ελέγχου ταυτότητας (push ή hardware tokens μέσω SMS όπου είναι δυνατόν), ενίσχυση της ασφάλειας των συσκευών και έγκαιρες ενημερώσεις λειτουργικού συστήματος/εφαρμογών.
  • Εφαρμόστε περιορισμούς συναλλαγών και δευτερεύουσα επαλήθευση για ενέργειες υψηλού κινδύνου που θα μπορούσαν να χρησιμοποιηθούν κατάχρηση κατά τη διάρκεια μιας ζωντανής συνεδρίας.

Τεχνική συμβουλή

Σε αντίθεση με τα απλά trojans που συλλέγουν διαπιστευτήρια, το Herodotus έχει σχεδιαστεί για να παραμένει ενεργό κατά τη διάρκεια ζωντανών συνεδριών και να εκτελεί απομακρυσμένες καταλήψεις λογαριασμών, διατηρώντας την περίοδο λειτουργίας. Αυτό καθιστά ιδιαίτερα σημαντική την ανίχνευση σε πραγματικό χρόνο και τους μετριασμούς κατά τη διάρκεια της περιόδου λειτουργίας (για παράδειγμα, ανίχνευση επικαλύψεων, ασυνήθιστων μοτίβων εισόδου που δεν είναι συμβατά με την κατάσταση της συσκευής ή ταυτόχρονη ροή οθόνης).

Τάσεις

Απάτη ειδοποίησης διακομιστή Webmail

Phishing, Ανεπιθύμητη αλληλογραφία
Στο συνεχώς εξελισσόμενο τοπίο των κυβερνοαπειλών, οι απάτες που μεταμφιέζονται σε νόμιμες ειδοποιήσεις γίνονται ολοένα και πιο εξελιγμένες. Η απάτη Webmail Server Alert Scam είναι ένα χαρακτηριστικό παράδειγμα, που στοχεύει ανυποψίαστους χρήστες με δόλια email που φαίνεται να προέρχονται από αξιόπιστες υπηρεσίες webmail. Αυτά τα email δεν σχετίζονται με καμία νόμιμη εταιρεία, οργανισμό ή...

Περισσότερες εμφανίσεις

Κακόβουλο λογισμικό

Phishing, Ανεπιθύμητη αλληλογραφία
33,141
Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
Φόρτωση...