Herodotus mobili kenkėjiška programa
Saugumo tyrėjai atrado naują „Android“ bankininkystės Trojos arklį, vardu „Herodotus“, kuris naudojamas aktyviose įrenginių perėmimo (DTO) kampanijose. Pastebėta ankstyva veikla, nukreipta prieš vartotojus Italijoje ir Brazilijoje, o analizė rodo, kad kenkėjiška programa siūloma kaip kenkėjiška programa kaip paslauga (MaaS).
Turinys
Netikras chromuotas lašintuvas, „SMiShing“ ir šoninis pakrovimas
Operatoriai platina „Herodotus“ per „dropper“ programas, kurios apsimetinėja teisėtomis programomis (pranešama, kad jos maskuojasi kaip „Google Chrome“ su paketų pavadinimais, tokiais kaip com.cd3.app) ir vilioja aukas sukčiavimo SMS žinutėmis ir kitais socialinės inžinerijos būdais. Įdiegus „dropper“ programą (dažnai per šoninį įkėlimą), ji nuskaito ir įdiegia kenkėjišką turinį.
Herodoto sugebėjimai
- Piktnaudžiauti „Android“ pritaikymo neįgaliesiems paslaugomis, kad būtų galima valdyti ekraną, pateikti nepermatomas perdangas ir rodyti netikrus prisijungimo puslapius bankininkystės ir kriptovaliutų programose.
- Perimti ir išgauti ekrane rodomą turinį ir SMS žinutes (įskaitant 2FA kodus).
- Suteikti sau papildomų leidimų, užfiksuoti užrakinimo ekrano PIN kodus arba šablonus, įdiegti nuotolines APK programas ir išlikti aktyviose sesijose, o ne tik vogti statinius prisijungimo duomenis.
- Registruoti klavišų paspaudimus, transliuoti ekranus ir atlikti nuotolinius įvesties veiksmus, kad būtų galima perimti paskyrą.
Nuotolinio sukčiavimo „humanizavimas“, siekiant įveikti elgesio detektorius
Išskirtinis „Herodotus“ bruožas yra bandymas imituoti žmogaus sąveikos laiką. Kenkėjiška programa gali pridėti atsitiktinius vėlavimus tarp automatinių įvesties įvykių (praneštas vėlavimo diapazonas ~300–3000 milisekundžių), todėl nuotolinis rašymas labiau panašus į tikro vartotojo ir mažiau į kompiuterio greitį – akivaizdus bandymas apeiti laiko ar elgesiu pagrįstą apsaugą nuo sukčiavimo ir biometrinį aptikimą. Šis laiko atsitiktinumas apibūdinamas kaip sąmoningas bandymas nugalėti gynybos sistemas, kurios daugiausia remiasi įvesties tempu ir klavišų paspaudimų dažniu.
Jungtys su Brokewell
Analizė rodo, kad „Herodotus“ nėra tiesiog nauja „Brokewell“ versija, bet, regis, jame pakartotinai panaudoti „Brokewell“ ir kitų šeimų metodai ir kodo fragmentai (įskaitant obfuskacijos metodus ir pažodines nuorodas, tokias kaip „BRKWL_JAVA“), efektyviai sujungiant žinomus komponentus į naują, aktyviai kuriamą atmainą.
Geografinė aprėptis ir taikiniai
Tyrėjai aptiko JAV, Turkijos, JK ir Lenkijos bankams bei kriptovaliutų piniginėms ir biržoms pritaikytus persidengimo puslapius – tai įrodymas, kad operatoriai plečia tikslinę geografiją ir vertikales, neapsiribodami pradiniais Italijos/Brazilijos pastebėjimais. Projektas yra aktyviai kuriamas ir reklamuojamas kitiems sukčiavimo veikėjams per pogrindinius forumus.
Praktiniai veiksmai prioritetams nustatyti
- Elgesiu pagrįstus kovos su sukčiavimu sprendimus traktuokite kaip vieną signalą daugiasluoksnėje gynyboje: derinkite įrenginio būklės patikrinimus, vientisumo patikrinimus (aptikti prieigos piktnaudžiavimą ir išorines programas), tinklo telemetriją ir operacijų rizikos vertinimą.
- Aptikti ir blokuoti šoninį įkėlimą ir neleistiną paketų diegimą; stebėti įtartinus perdengimo langus ir pritaikymo neįgaliesiems paslaugų naudojimą galiniuose įrenginiuose.
- Užtikrinkite patikimą daugiafaktorinį autentifikavimą (jei įmanoma, tiesioginius arba aparatinės įrangos žetonus per SMS žinutes), įrenginių apsaugos stiprinimą ir savalaikius OS / programų atnaujinimus.
- Įdiekite operacijų apribojimus ir antrinį didelės rizikos veiksmų, kuriais galėtų būti piktnaudžiaujama realios sesijos metu, patikrinimą.
Techninė išvada
Kitaip nei paprasti kredencialų duomenis rinkiantys Trojos arkliai, „Herodotus“ sukurtas taip, kad išliktų aktyvus tiesioginių sesijų metu ir nuotoliniu būdu perimtų paskyras, išsaugodamas sesiją. Todėl ypač svarbu aptikimas realiuoju laiku ir seanso metu taikomos švelninimo priemonės (pvz., perdengimų, neįprastų įvesties šablonų, neatitinkančių įrenginio būsenos, arba vienalaikio ekrano transliacijos aptikimas).
