Herodotus मोबाइल मैलवेयर
सुरक्षा शोधकर्ताओं ने हेरोडोटस नामक एक नए एंड्रॉइड बैंकिंग ट्रोजन का पता लगाया है जिसका इस्तेमाल सक्रिय डिवाइस-टेकओवर (DTO) अभियानों में किया जा रहा है। शुरुआती गतिविधि इटली और ब्राज़ील के उपयोगकर्ताओं को लक्षित करते हुए देखी गई है, और विश्लेषण से पता चलता है कि यह मैलवेयर मैलवेयर-एज़-ए-सर्विस (MaaS) के रूप में उपलब्ध है।
विषयसूची
नकली क्रोम ड्रॉपर, स्मिशिंग, और साइड-लोडिंग
ऑपरेटर ड्रॉपर एप्लिकेशन के ज़रिए हेरोडोटस वितरित करते हैं जो वैध ऐप्स (कथित तौर पर com.cd3.app जैसे पैकेज नामों के साथ गूगल क्रोम के रूप में) की नकल करते हैं और एसएमएस फ़िशिंग और अन्य सोशल-इंजीनियरिंग माध्यमों से पीड़ितों को लुभाते हैं। ड्रॉपर इंस्टॉल हो जाने के बाद (अक्सर साइड-लोडिंग के ज़रिए), यह दुर्भावनापूर्ण पेलोड को प्राप्त करता है और इंस्टॉल करता है।
हेरोडोटस की क्षमताएँ
- स्क्रीन को नियंत्रित करने, अपारदर्शी ओवरले प्रस्तुत करने और बैंकिंग और क्रिप्टो ऐप्स पर नकली लॉगिन पेज प्रदर्शित करने के लिए एंड्रॉइड एक्सेसिबिलिटी सेवाओं का दुरुपयोग करना।
- ऑन-स्क्रीन सामग्री और एसएमएस संदेशों (2FA कोड सहित) को इंटरसेप्ट और एक्सफ़िल्ट करना।
- स्वयं को अतिरिक्त अनुमतियां प्रदान करना, लॉक-स्क्रीन पिन या पैटर्न कैप्चर करना, रिमोट APK इंस्टॉल करना, तथा केवल स्थैतिक क्रेडेंशियल्स चुराने के बजाय लाइव सत्रों के अंदर बने रहना।
- खाता अधिग्रहण करने के लिए कीस्ट्रोक्स लॉग करें, स्क्रीन स्ट्रीम करें, और दूरस्थ इनपुट क्रियाएं निष्पादित करें।
व्यवहार डिटेक्टरों को मात देने के लिए रिमोट धोखाधड़ी का 'मानवीकरण'
हेरोडोटस की सबसे खास विशेषता मानवीय संपर्क के समय की नकल करने की इसकी कोशिश है। यह मैलवेयर स्वचालित इनपुट घटनाओं (रिपोर्ट की गई देरी सीमा लगभग 300-3,000 मिलीसेकंड) के बीच यादृच्छिक विलंब जोड़ सकता है, जिससे दूर से टाइपिंग वास्तविक उपयोगकर्ता की तरह और मशीन की गति से कम दिखाई देती है - यह समय-आधारित या व्यवहार-आधारित धोखाधड़ी-रोधी और बायोमेट्रिक पहचान को दरकिनार करने का एक स्पष्ट प्रयास है। इस समय-यादृच्छिकीकरण को उन सुरक्षा प्रणालियों को विफल करने का एक जानबूझकर किया गया प्रयास बताया जा रहा है जो मुख्य रूप से इनपुट गति और कीस्ट्रोक ताल पर निर्भर करती हैं।
ब्रोकवेल से संबंध
विश्लेषण से पता चलता है कि हेरोडोटस केवल ब्रोकवेल का नया संस्करण नहीं है, बल्कि ऐसा प्रतीत होता है कि इसमें ब्रोकवेल और अन्य परिवारों की तकनीकों और कोड अंशों (जिसमें अस्पष्टीकरण विधियां और 'BRKWL_JAVA' जैसे मार्कर जैसे शाब्दिक संदर्भ शामिल हैं) का पुनः उपयोग किया गया है - जिससे ज्ञात घटकों को प्रभावी रूप से एक नए, सक्रिय रूप से विकसित स्ट्रेन में जोड़ दिया गया है।
भौगोलिक दायरा और लक्ष्य
शोधकर्ताओं ने अमेरिका, तुर्की, ब्रिटेन और पोलैंड के बैंकों, और क्रिप्टोकरेंसी वॉलेट्स व एक्सचेंजों के लिए विशेष रूप से तैयार किए गए ओवरले पेजों को पुनः प्राप्त किया है—जो इस बात का प्रमाण है कि ऑपरेटर शुरुआती इटली/ब्राज़ील के अलावा लक्ष्य भूगोल और कार्यक्षेत्र का विस्तार कर रहे हैं। यह परियोजना सक्रिय रूप से विकास के अधीन है और भूमिगत मंचों के माध्यम से अन्य धोखाधड़ी करने वालों को बेची जा रही है।
प्राथमिकता देने के लिए व्यावहारिक कार्य
- व्यवहार-विरोधी धोखाधड़ी समाधानों को एक स्तरित रक्षा में एक संकेत के रूप में मानें: डिवाइस की स्थिति, अखंडता जांच (पहुंच-योग्यता के दुरुपयोग और साइड-लोडेड ऐप्स का पता लगाना), नेटवर्क टेलीमेट्री और लेनदेन जोखिम स्कोरिंग को संयोजित करें।
- साइड-लोडिंग और अनधिकृत पैकेज इंस्टॉलेशन का पता लगाना और ब्लॉक करना; एंडपॉइंट्स पर संदिग्ध ओवरले विंडो और एक्सेसिबिलिटी सेवा उपयोग की निगरानी करना।
- मजबूत बहु-कारक प्रमाणीकरण (जहां संभव हो, एसएमएस के माध्यम से पुश या हार्डवेयर टोकन), डिवाइस को मजबूत बनाना, तथा समय पर ओएस/ऐप अपडेट लागू करना।
- उच्च जोखिम वाली गतिविधियों के लिए लेनदेन थ्रॉटल और द्वितीयक सत्यापन लागू करें, जिनका लाइव सत्र के दौरान दुरुपयोग हो सकता है।
तकनीकी जानकारी
साधारण क्रेडेंशियल-हार्वेस्टिंग ट्रोजन के विपरीत, हेरोडोटस को लाइव सत्रों के दौरान सक्रिय रहने और दूरस्थ, सत्र-संरक्षित खातों पर कब्ज़ा करने के लिए डिज़ाइन किया गया है। इससे वास्तविक समय में पता लगाना और सत्र के दौरान शमन (उदाहरण के लिए, ओवरले का पता लगाना, डिवाइस की स्थिति से असंगत असामान्य इनपुट पैटर्न, या एक साथ स्क्रीन स्ट्रीमिंग) विशेष रूप से महत्वपूर्ण हो जाता है।
