Herodot - mobilni zlonamjerni softver

Sigurnosni istraživači otkrili su novi Android bankarski trojanac pod nazivom Herodotus koji se koristi u kampanjama aktivnog preuzimanja uređaja (DTO). Primijećena je rana aktivnost usmjerena na korisnike u Italiji i Brazilu, a analiza pokazuje da se zlonamjerni softver nudi kao zlonamjerni softver kao usluga (MaaS).

Lažni Chrome Dropper, SMiShing i bočno učitavanje

Operateri distribuiraju Herodot putem aplikacija za spuštanje virusa koje se lažno predstavljaju kao legitimne aplikacije (navodno se maskiraju kao Google Chrome s nazivima paketa poput com.cd3.app) i namamljuju žrtve putem SMS phishinga i drugih vektora društvenog inženjeringa. Nakon što se aplikacija za spuštanje virusa instalira (često bočnim učitavanjem), ona preuzima i instalira zlonamjerni sadržaj.

Herodotove sposobnosti

• Zloupotrebljavajte usluge pristupačnosti Androida za kontrolu zaslona, prikazivanje neprozirnih slojeva i lažnih stranica za prijavu preko bankarskih i kripto aplikacija.
• Presresti i izvući sadržaj na zaslonu i SMS poruke (uključujući 2FA kodove).
• Dodijeliti sebi dodatne dozvole, snimati PIN-ove ili uzorke zaključanog zaslona, instalirati udaljene APK-ove i ostati unutar aktivnih sesija umjesto da samo krade statičke vjerodajnice.
• Bilježite pritiske tipki, streamajte zaslone i izvršavajte radnje daljinskog unosa za preuzimanje računa.

'Humanizacija' udaljene prijevare kako bi se pobijedili detektori ponašanja

Herodotova istaknuta značajka je pokušaj oponašanja vremena ljudske interakcije. Zlonamjerni softver može dodati nasumična kašnjenja između automatiziranih događaja unosa (prijavljeni raspon kašnjenja ~300–3000 milisekundi) tako da tipkanje na daljinu više izgleda kao kod stvarnog korisnika, a manje kao brzina stroja - jasan pokušaj zaobilaženja zaštite od prijevara i biometrijskog otkrivanja temeljenog na vremenu ili ponašanju. Ova randomizacija vremena opisuje se kao namjerni pokušaj prevladavanja obrane koja se prvenstveno oslanja na tempo unosa i ritam pritiska tipki.

Veze s Brokewellom

Analiza pokazuje da Herodot nije samo nova verzija Brokewella, već se čini da je ponovno upotrijebio tehnike i fragmente koda (uključujući metode zamagljivanja i doslovne reference poput markera poput 'BRKWL_JAVA') iz Brokewella i drugih obitelji - učinkovito spajajući poznate komponente u novi, aktivno razvijeni soj.

Geografski opseg i ciljevi

Istraživači su pronašli prekrivajuće stranice prilagođene bankama u SAD-u, Turskoj, Velikoj Britaniji i Poljskoj, te za kriptovalutne novčanike i mjenjačnice - dokaz da operateri proširuju ciljanu geografiju i vertikale izvan početnih viđenja u Italiji/Brazilu. Projekt je aktivno u razvoju i plasira se na tržište drugim akterima prijevara putem podzemnih foruma.

Praktične akcije za davanje prioriteta

• Rješenja za sprječavanje prijevara koja se temelje samo na ponašanju tretirajte kao jedan signal u slojevitoj obrani: kombinirajte stanje uređaja, provjere integriteta (otkrivanje zlouporabe pristupačnosti i aplikacija učitanih s druge strane), mrežnu telemetriju i bodovanje rizika transakcija.
• Otkrivanje i blokiranje bočnog učitavanja i neovlaštenih instalacija paketa; praćenje sumnjivih prekrivajućih prozora i korištenja usluga pristupačnosti na krajnjim točkama.
• Provedite snažnu višefaktorsku autentifikaciju (push ili hardverske tokene putem SMS-a gdje je to moguće), ojačajte uređaj i pravovremena ažuriranja OS-a/aplikacija.
• Implementirajte ograničenja transakcija i sekundarnu verifikaciju za visokorizične radnje koje bi se mogle zloupotrijebiti tijekom sesije uživo.

Tehnički zaključak

Za razliku od jednostavnih trojanaca za prikupljanje vjerodajnica, Herodotus je dizajniran da ostane aktivan tijekom živih sesija i da provodi udaljeno preuzimanje računa uz očuvanje sesije. Zbog toga je otkrivanje u stvarnom vremenu i ublažavanje problema tijekom sesije (na primjer, otkrivanje slojeva, neobičnih obrazaca unosa koji nisu u skladu sa stanjem uređaja ili istovremenog strujanja zaslona) posebno važno.