Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Mobil rosszindulatú program Herodotus mobil kártevő

Herodotus mobil kártevő

Mezo -ra Mobil rosszindulatú program, Banki trójai-ben
Fordítás ide:

Biztonsági kutatók lelepleztek egy új, Herodotus nevű Android banki trójai vírust, amelyet aktív eszközátvételi (DTO) kampányokban használnak. A korai aktivitás Olaszországban és Brazíliában élő felhasználókat célzott meg, és az elemzések azt mutatják, hogy a rosszindulatú programot szolgáltatásként (MaaS) kínálják.

Hamis krómozott cseppentő, SMiShing és oldalsó töltés

Az üzemeltetők a Herodotust olyan dropper alkalmazásokon keresztül terjesztik, amelyek legitim alkalmazásokat utánoznak (állítólag Google Chrome-nak álcázva magukat, olyan csomagnevekkel, mint a com.cd3.app), és SMS-es adathalászattal és más közösségi manipulációval csábítják az áldozatokat. A dropper telepítése után (gyakran oldalbetöltéssel) lekéri és telepíti a rosszindulatú hasznos adatot.

Hérodotosz képességei

  • Az Android akadálymentesítési szolgáltatásainak visszaélésszerű használata a képernyő vezérléséhez, átlátszatlan átfedések megjelenítéséhez és hamis bejelentkezési oldalak megjelenítéséhez banki és kriptoalkalmazásokban.
  • Képernyőn megjelenő tartalmak és SMS-üzenetek (beleértve a 2FA-kódokat is) elfogása és kiszivárogtatása.
  • Extra jogosultságokat adhat magának, rögzíthet zárolási képernyő PIN-kódokat vagy mintákat, távoli APK-kat telepíthet, és élő munkamenetekben is megőrződhet a statikus hitelesítő adatok ellopása helyett.
  • Billentyűleütések naplózása, képernyők streamelése és távoli beviteli műveletek végrehajtása a fiók átvételéhez.

A távoli csalások „humanizálása” a viselkedésérzékelők legyőzése érdekében

A Herodotus kiemelkedő tulajdonsága, hogy megpróbálja utánozni az emberi interakció időzítését. A rosszindulatú program véletlenszerű késleltetéseket adhat az automatikus beviteli események közé (a jelentett késleltetési tartomány ~300–3000 milliszekundum), így a távoli gépelés inkább a valódi felhasználóra hasonlít, és kevésbé a gép sebességére – ez egyértelműen arra irányul, hogy megkerüljék az időzítésen vagy viselkedésen alapuló csalás elleni védelmet és a biometrikus észlelést. Ezt az időzítési véletlenszerűsítést szándékos kísérletként írják le, hogy kiküszöböljék azokat a védelmeket, amelyek elsősorban a beviteli tempón és a billentyűleütések ütemén alapulnak.

Kapcsolatok Brokewellhez

Az elemzés azt mutatja, hogy a Herodotus nem egyszerűen a Brokewell egy új verziója, hanem úgy tűnik, hogy újrahasznosított technikákat és kódrészleteket (beleértve az obfuszkációs módszereket és a szó szerinti hivatkozásokat, mint például a 'BRKWL_JAVA' markereket) tartalmaz a Brokewelltől és más családoktól – hatékonyan összevarrva az ismert komponenseket egy új, aktívan fejlesztett törzsbe.

Földrajzi hatókör és célpontok

A kutatók olyan átfedő oldalakat találtak, amelyeket amerikai, török, brit és lengyel bankok, valamint kriptovaluta-tárcák és -tőzsdék számára szabtak testre – ez bizonyíték arra, hogy az üzemeltetők a kezdeti olasz/brazíliai észleléseken túl is kiterjesztik célterületüket és vertikális tevékenységeiket. A projekt aktív fejlesztés alatt áll, és földalatti fórumokon keresztül más csaló szereplőknek is reklámozzák.

Gyakorlati lépések a prioritások meghatározásához

  • A viselkedésalapú csalás elleni megoldásokat egyetlen jelzésként kezelje egy rétegzett védelemben: kombinálja az eszköz állapotának ellenőrzését, az integritásellenőrzéseket (a hozzáférési visszaélések és az oldalra telepített alkalmazások észlelése), a hálózati telemetriát és a tranzakciós kockázatok pontozását.
  • Észleli és blokkolja az oldalról betöltött és jogosulatlan csomagtelepítéseket; figyeli a gyanús átfedő ablakokat és az akadálymentesítési szolgáltatások használatát a végpontokon.
  • Erős többtényezős hitelesítés kikényszerítése (push vagy hardveres tokenek SMS-en keresztül, ahol lehetséges), eszköztiszítás és időben történő operációs rendszer/alkalmazásfrissítések.
  • Tranzakciós korlátozások és másodlagos ellenőrzés alkalmazása a magas kockázatú, élő munkamenet során visszaélésre alkalmas műveletekhez.

Technikai tanulság

Az egyszerű hitelesítő adatokat gyűjtögető trójai vírusokkal ellentétben a Herodotus úgy lett kialakítva, hogy élő munkamenetek során is aktív maradjon, és távoli, munkamenet-megőrző fiókátvételeket hajtson végre. Ez különösen fontossá teszi a valós idejű észlelést és a munkamenet közbeni kockázatcsökkentéseket (például az átfedések, az eszközállapottal nem összeegyeztethető szokatlan beviteli minták vagy az egyidejű képernyő-streamelés észlelését).

Felkapott

Webmail szerver riasztási átverés

Adathalászat, Spam
A folyamatosan változó kiberfenyegetések világában a legitim értesítéseknek álcázott csalások egyre kifinomultabbá válnak. A Webmail Server Alert átverés erre egy kiváló példa, amely gyanútlan felhasználókat céloz meg csalárd e-mailekkel, amelyek látszólag megbízható webmail szolgáltatásoktól származnak. Ezek az e-mailek nem kapcsolódnak semmilyen legitim vállalathoz, szervezethez vagy...

Legnézettebb

Betöltés...