Monen lisenssin alennustarjous
Uhatietokanta Mobiili haittaohjelma Herodotus-mobiilihaittaohjelma

Herodotus-mobiilihaittaohjelma

Vuonna Mezo vuonna Mobiili haittaohjelma, Pankkitoiminta Troijalainen
Käännä:

Tietoturvatutkijat ovat paljastaneet uuden Android-pankkitroijalaisen nimeltä Herodotus, jota käytetään aktiivisissa laitekaappauskampanjoissa (DTO). Varhaisessa toiminnassa on havaittu kohdistuvan käyttäjiin Italiassa ja Brasiliassa, ja analyysi osoittaa, että haittaohjelmaa tarjotaan Malware as a Service (MaaS) -muodossa.

Väärennetty kromipipetti, SMiShing ja sivulta lastattava

Operaattorit levittävät Herodotusta dropper-sovellusten kautta, jotka tekeytyvät laillisiksi sovelluksiksi (jotka kertoman mukaan naamioituvat Google Chromeksi ja joiden pakettien nimet ovat kuten com.cd3.app) ja houkuttelevat uhreja tekstiviestillä tehtävän tietojenkalastelun ja muiden sosiaalisen manipuloinnin vektorien avulla. Kun dropper on asennettu (usein sivulatauksen kautta), se hakee ja asentaa haitallisen hyötysisällön.

Herodotoksen kyvyt

  • Väärinkäyttää Androidin esteettömyyspalveluita näytön hallitsemiseksi, läpinäkymättömien peittokuvien näyttämiseksi ja väärennettyjen kirjautumissivujen näyttämiseksi pankki- ja kryptosovelluksissa.
  • Siepata ja purkaa näytön sisältöä ja tekstiviestejä (mukaan lukien 2FA-koodit).
  • Myönnä itselleen lisäkäyttöoikeuksia, kaappaa lukitusnäytön PIN-koodeja tai kuvioita, asenna etä-APK:ita ja pysy toiminnassa reaaliaikaisissa istunnoissa sen sijaan, että vain varastaisi staattisia tunnistetietoja.
  • Kirjaa näppäinpainalluksia, suoratoista näyttöjä ja suorita etäsyöttötoimintoja tilin haltuunottoa varten.

Etäpetosten inhimillistäminen käyttäytymistunnistimien voittamiseksi

Herodotuksen erottuva ominaisuus on sen yritys matkia ihmisen vuorovaikutuksen ajoitusta. Haittaohjelma voi lisätä satunnaistettuja viiveitä automaattisten syöttötapahtumien väliin (raportoitu viivealue ~300–3 000 millisekuntia), joten etäkirjoittaminen näyttää enemmän oikealta käyttäjältä ja vähemmän koneen nopeudelta – selkeä yritys ohittaa ajoitukseen tai käyttäytymiseen perustuva petostentorjunta ja biometrinen tunnistus. Tätä ajoituksen satunnaistamista kuvataan tarkoituksellisena yrityksenä torjua puolustusmekanismeja, jotka perustuvat ensisijaisesti syöttönopeuteen ja näppäinpainallusten rytmiin.

Yhteydet Brokewelliin

Analyysi osoittaa, että Herodotus ei ole pelkästään uusi versio Brokewellista, vaan siinä näyttää olevan uudelleenkäytettyjä tekniikoita ja koodinpätkiä (mukaan lukien hämärrysmenetelmät ja kirjaimelliset viittaukset, kuten merkit, kuten 'BRKWL_JAVA') Brokewellista ja muista perheistä — tehokkaasti ommellen tunnettuja komponentteja uuteen, aktiivisesti kehitettyyn lajikkeeseen.

Maantieteellinen laajuus ja kohteet

Tutkijat ovat löytäneet Yhdysvaltojen, Turkin, Ison-Britannian ja Puolan pankeille sekä kryptovaluuttalompakoille ja -pörsseille räätälöityjä peittosivuja – todisteet siitä, että operaattorit laajentavat kohdemaantieteellistä aluetta ja toimialoja alkuperäisten Italian/Brasilian havaintojen ulkopuolelle. Projektia kehitetään aktiivisesti ja markkinoidaan muille huijareille maanalaisten foorumien kautta.

Käytännön toimia priorisointia varten

  • Käsittele pelkästään käyttäytymiseen perustuvia petostentorjuntaratkaisuja yhtenä signaalina kerrostetussa puolustuksessa: yhdistä laitteen tila, eheystarkistukset (havaitsee esteettömyysongelmia ja sivulta ladattuja sovelluksia), verkon telemetria ja tapahtumien riskien pisteytys.
  • Havaitse ja estä sivulataukset ja luvattomat pakettiasennukset; valvo epäilyttäviä päällekkäisikkunoita ja esteettömyyspalveluiden käyttöä päätepisteissä.
  • Käytä vahvaa monivaiheista todennusta (push- tai laitteistotunnisteita tekstiviestitse, jos mahdollista), laitteiden suojauksen vahvistamista ja oikea-aikaisia käyttöjärjestelmä- ja sovelluspäivityksiä.
  • Ota käyttöön tapahtumien rajoitukset ja toissijainen varmennus riskialttiille toimille, joita voidaan väärinkäyttää reaaliaikaisen istunnon aikana.

Tekninen ote

Toisin kuin yksinkertaiset tunnistetietoja keräävät troijalaiset, Herodotus on suunniteltu pysymään aktiivisena reaaliaikaisten istuntojen aikana ja suorittamaan etänä istuntoa säilyttäviä tilien haltuunottoja. Tämä tekee reaaliaikaisesta havaitsemisesta ja istunnon aikaisista lieventämistoimenpiteistä (esimerkiksi päällekkäisyyksien, laitteen tilan kanssa ristiriidassa olevien epätavallisten syöttökuvioiden tai samanaikaisen näytön suoratoiston havaitsemisesta) erityisen tärkeitä.

Trendaavat

Eniten katsottu

Ladataan...