بدافزار موبایل هرودوت

محققان امنیتی یک تروجان بانکی جدید اندروید به نام Herodotus را کشف کرده‌اند که در پویش‌های تصاحب فعال دستگاه (DTO) مورد استفاده قرار می‌گیرد. فعالیت‌های اولیه آن با هدف قرار دادن کاربران در ایتالیا و برزیل مشاهده شده است و تجزیه و تحلیل‌ها نشان می‌دهد که این بدافزار به عنوان Malware‑as‑a‑Service (MaaS) ارائه می‌شود.

کروم دراپر جعلی، SMiShing و بارگذاری جانبی

اپراتورها Herodotus را از طریق برنامه‌های dropper که خود را به جای برنامه‌های قانونی جا می‌زنند (طبق گزارش‌ها خود را به عنوان گوگل کروم با نام‌های بسته‌ای مانند com.cd3.app جا می‌زنند) توزیع می‌کنند و قربانیان را از طریق فیشینگ پیامکی و سایر روش‌های مهندسی اجتماعی فریب می‌دهند. پس از نصب dropper (اغلب از طریق بارگذاری جانبی)، payload مخرب را دریافت و نصب می‌کند.

توانایی‌های هرودوت

• سوءاستفاده از سرویس‌های دسترسی اندروید برای کنترل صفحه نمایش، نمایش پوشش‌های مات و نمایش صفحات ورود جعلی در برنامه‌های بانکی و ارزهای دیجیتال.
• محتوای روی صفحه و پیام‌های متنی (از جمله کدهای 2FA) را رهگیری و استخراج کنید.
• به خودش مجوزهای اضافی بدهد، پین‌ها یا الگوهای قفل صفحه را ثبت کند، APKهای از راه دور نصب کند و به جای اینکه فقط اعتبارنامه‌های استاتیک را بدزدد، در جلسات زنده باقی بماند.
• کلیدهای فشرده شده را ثبت کنید، صفحات را پخش کنید و اقدامات ورودی از راه دور را برای انجام تصاحب حساب انجام دهید.

«انسانی‌سازی» کلاهبرداری از راه دور برای غلبه بر آشکارسازهای رفتاری

ویژگی برجسته‌ی هرودوت تلاش آن برای تقلید از زمان‌بندی تعامل انسان است. این بدافزار می‌تواند تأخیرهای تصادفی بین رویدادهای ورودی خودکار (محدوده‌ی تأخیر گزارش‌شده حدود ۳۰۰ تا ۳۰۰۰ میلی‌ثانیه) اضافه کند، بنابراین تایپ از راه دور بیشتر شبیه یک کاربر واقعی و کمتر شبیه سرعت ماشین به نظر می‌رسد - تلاشی آشکار برای دور زدن تشخیص ضد تقلب و بیومتریک مبتنی بر زمان‌بندی یا رفتار. این تصادفی‌سازی زمان‌بندی به عنوان تلاشی عمدی برای شکست دادن دفاع‌هایی توصیف می‌شود که عمدتاً به سرعت ورودی و آهنگ ضربه زدن به کلید متکی هستند.

راه‌های ارتباطی با بروکول

تجزیه و تحلیل نشان می‌دهد که هرودوت صرفاً نسخه‌ی جدیدی از بروکول نیست، بلکه به نظر می‌رسد از تکنیک‌ها و قطعات کد (از جمله روش‌های مبهم‌سازی و ارجاعات تحت‌اللفظی مانند نشانگرهایی مانند 'BRKWL_JAVA') از بروکول و خانواده‌های دیگر مجدداً استفاده کرده است - و عملاً اجزای شناخته شده را در یک سویه‌ی جدید و فعال ادغام کرده است.

محدوده جغرافیایی و اهداف

محققان صفحات پوششی را که برای بانک‌های ایالات متحده، ترکیه، انگلستان و لهستان و همچنین برای کیف پول‌ها و صرافی‌های ارز دیجیتال طراحی شده‌اند، بازیابی کرده‌اند - شواهدی مبنی بر اینکه اپراتورها در حال گسترش جغرافیای هدف و دامنه فعالیت خود فراتر از مشاهدات اولیه ایتالیا/برزیل هستند. این پروژه به طور فعال در حال توسعه است و از طریق انجمن‌های زیرزمینی به سایر بازیگران کلاهبرداری عرضه می‌شود.

اقدامات عملی برای اولویت‌بندی

• راهکارهای ضد کلاهبرداری مبتنی بر رفتار را به عنوان یک سیگنال در یک دفاع لایه‌ای در نظر بگیرید: وضعیت دستگاه، بررسی‌های یکپارچگی (تشخیص سوءاستفاده از دسترسی و برنامه‌های جانبی)، تله‌متری شبکه و امتیازدهی ریسک تراکنش را با هم ترکیب کنید.
• شناسایی و مسدود کردن نصب‌های بسته‌های غیرمجاز و بارگذاری‌های جانبی؛ نظارت بر پنجره‌های مشکوک همپوشانی و میزان استفاده از سرویس‌های دسترسی در نقاط پایانی.
• احراز هویت چند عاملی قوی (در صورت امکان، ارسال توکن‌های سخت‌افزاری از طریق پیامک)، مقاوم‌سازی دستگاه و به‌روزرسانی‌های به‌موقع سیستم‌عامل/برنامه را اعمال کنید.
• برای اقدامات پرخطری که می‌توانند در طول یک جلسه حضوری مورد سوءاستفاده قرار گیرند، محدودیت‌های تراکنش و تأیید ثانویه را پیاده‌سازی کنید.

نکته فنی

برخلاف تروجان‌های ساده‌ی جمع‌آوری اطلاعات کاربری، Herodotus به گونه‌ای طراحی شده است که در طول جلسات زنده فعال بماند و از راه دور و با حفظ جلسه، کنترل حساب‌ها را انجام دهد. این امر، تشخیص بلادرنگ و کاهش خطرات در جلسه (به عنوان مثال، تشخیص همپوشانی‌ها، الگوهای ورودی غیرمعمول که با وضعیت دستگاه ناسازگار هستند یا پخش همزمان صفحه نمایش) را به ویژه مهم می‌کند.