Preventivo sconto multi-licenza
Database delle minacce Malware per dispositivi mobili Malware mobile di Erodoto

Malware mobile di Erodoto

Entro Mezo nel Malware per dispositivi mobili, Trojan bancario
Traduci in:

I ricercatori di sicurezza hanno scoperto un nuovo trojan bancario per Android chiamato Herodotus, utilizzato in campagne di acquisizione attiva dei dispositivi (DTO). Le prime attività sono state osservate con utenti in Italia e Brasile e le analisi indicano che il malware viene offerto come Malware-as-a-Service (MaaS).

Contagocce cromato falso, SMiShing e caricamento laterale

Gli operatori distribuiscono Herodotus tramite applicazioni dropper che impersonano app legittime (a quanto pare mascherate da Google Chrome con nomi di pacchetto come com.cd3.app) e attirano le vittime tramite SMS phishing e altri vettori di ingegneria sociale. Una volta installato (spesso tramite side-loading), il dropper recupera e installa il payload dannoso.

Capacità di Erodoto

  • Utilizzare in modo improprio i servizi di accessibilità di Android per controllare lo schermo, presentare sovrapposizioni opache e visualizzare pagine di accesso false su app bancarie e di criptovalute.
  • Intercettare ed esfiltrare contenuti sullo schermo e messaggi SMS (inclusi i codici 2FA).
  • Concedere a se stesso permessi aggiuntivi, catturare PIN o pattern della schermata di blocco, installare APK remoti e persistere nelle sessioni live anziché limitarsi a rubare credenziali statiche.
  • Registra le sequenze di tasti, riproduci in streaming le schermate ed esegui azioni di input remoto per eseguire il controllo dell'account.

“Umanizzare” le frodi a distanza per sconfiggere i rilevatori comportamentali

La caratteristica distintiva di Herodotus è il suo tentativo di imitare i tempi di interazione umana. Il malware può aggiungere ritardi casuali tra gli eventi di input automatizzati (intervallo di ritardo segnalato di circa 300-3.000 millisecondi), in modo che la digitazione a distanza assomigli di più a quella di un utente reale e meno alla velocità di una macchina: un chiaro tentativo di aggirare i sistemi antifrode e di rilevamento biometrico basati sui tempi o sul comportamento. Questa randomizzazione dei tempi viene descritta come un tentativo deliberato di eludere le difese che si basano principalmente sul tempo di input e sulla cadenza di battitura dei tasti.

Collegamenti a Brokewell

L'analisi dimostra che Herodotus non è semplicemente una nuova versione di Brokewell, ma sembra aver riutilizzato tecniche e frammenti di codice (inclusi metodi di offuscamento e riferimenti letterali come marcatori come 'BRKWL_JAVA') da Brokewell e altre famiglie, unendo di fatto componenti noti in un nuovo ceppo attivamente sviluppato.

Ambito geografico e obiettivi

I ricercatori hanno recuperato pagine di overlay personalizzate per banche negli Stati Uniti, in Turchia, nel Regno Unito e in Polonia, nonché per wallet ed exchange di criptovalute, a dimostrazione del fatto che gli operatori stanno ampliando la geografia e i settori di riferimento oltre i primi avvistamenti in Italia e Brasile. Il progetto è in fase di sviluppo e viene pubblicizzato ad altri autori di frodi tramite forum clandestini.

Azioni pratiche da dare priorità

  • Considerare le soluzioni antifrode basate solo sul comportamento come un segnale in una difesa a più livelli: combinare la postura del dispositivo, i controlli di integrità (rilevare abusi di accessibilità e app caricate lateralmente), la telemetria di rete e il punteggio del rischio delle transazioni.
  • Rileva e blocca il caricamento laterale e le installazioni di pacchetti non autorizzate; monitora le finestre di sovrapposizione sospette e l'utilizzo del servizio di accessibilità sugli endpoint.
  • Applica un'autenticazione multifattoriale avanzata (push o token hardware tramite SMS, ove possibile), il rafforzamento dei dispositivi e aggiornamenti tempestivi del sistema operativo/delle app.
  • Implementare limitazioni delle transazioni e verifiche secondarie per azioni ad alto rischio che potrebbero essere utilizzate in modo improprio durante una sessione live.

Conclusioni tecniche

A differenza dei semplici trojan che raccolgono credenziali, Herodotus è progettato per rimanere attivo durante le sessioni live e per eseguire acquisizioni di account da remoto, preservando la sessione. Ciò rende particolarmente importanti il rilevamento in tempo reale e le mitigazioni durante la sessione (ad esempio, il rilevamento di sovrapposizioni, modelli di input insoliti non coerenti con lo stato del dispositivo o lo streaming simultaneo dello schermo).

Tendenza

I più visti

Caricamento in corso...