Vairāku licenču atlaides piedāvājums
Draudu datu bāze Ļaunprātīga programmatūra mobilajām ierīcēm Herodotus mobilo ierīču ļaunprogrammatūra

Herodotus mobilo ierīču ļaunprogrammatūra

Līdz Mezo. gadam Ļaunprātīga programmatūra mobilajām ierīcēm, Banku Trojas zirgs. gadā
Tulkot uz:

Drošības pētnieki ir atklājuši jaunu Android banku Trojas zirgu ar nosaukumu Herodotus, kas tiek izmantots aktīvās ierīču pārņemšanas (DTO) kampaņās. Ir novērota agrīna aktivitāte, kas vērsta pret lietotājiem Itālijā un Brazīlijā, un analīze liecina, ka ļaunprogrammatūra tiek piedāvāta kā ļaunprogrammatūra kā pakalpojums (MaaS).

Viltus hroma pilinātājs, SMiShing un sānu ielāde

Operatori izplata Herodotus, izmantojot nolaižamās programmas (dropper), kas uzdodas par likumīgām lietotnēm (ziņots, ka tās maskējas kā Google Chrome ar pakotņu nosaukumiem, piemēram, com.cd3.app), un pievilina upurus, izmantojot īsziņu pikšķerēšanu un citus sociālās inženierijas vektorus. Kad nolaižamā programma ir instalēta (bieži vien ar sānielādes palīdzību), tā ielādē un instalē ļaunprātīgo vērtumu.

Herodota spējas

  • Ļaunprātīgi izmantot Android pieejamības pakalpojumus, lai kontrolētu ekrānu, rādītu necaurspīdīgus pārklājumus un parādītu viltotas pieteikšanās lapas banku un kriptovalūtu lietotnēs.
  • Pārtvert un izgūt ekrānā redzamo saturu un īsziņas (tostarp 2FA kodus).
  • Piešķir sev papildu atļaujas, uztver bloķēšanas ekrāna PIN kodus vai shēmas, instalē attālinātas APK versijas un saglabājas tiešsaistes sesijās, nevis tikai zogot statiskās akreditācijas datus.
  • Reģistrēt taustiņsitienus, straumēt ekrānus un veikt attālinātas ievades darbības, lai pārņemtu kontu.

Attālinātās krāpšanas “humanizācija”, lai pārspētu uzvedības detektorus

Herodotus izcilākā iezīme ir mēģinājums atdarināt cilvēka mijiedarbības laiku. Ļaunprogrammatūra var pievienot nejaušinātas aizkaves starp automatizētiem ievades notikumiem (ziņotais aizkaves diapazons ir ~300–3000 milisekundes), tāpēc attālināta rakstīšana vairāk izskatās pēc īsta lietotāja un mazāk pēc mašīnas ātruma — tas ir skaidrs mēģinājums apiet uz laiku vai uzvedību balstītu krāpšanas apkarošanu un biometrisko noteikšanu. Šī laika nejaušināšana tiek raksturota kā apzināts mēģinājums pārvarēt aizsardzības mehānismus, kas galvenokārt balstās uz ievades tempu un taustiņu nospiešanas ritmu.

Savienojumi ar Brokewell

Analīze liecina, ka Herodotus nav vienkārši jauna Brokewell versija, bet gan atkārtoti izmantotas Brokewell un citu saimju metodes un koda fragmenti (tostarp obfuskācijas metodes un burtiskas atsauces, piemēram, marķieri, piemēram, 'BRKWL_JAVA'), efektīvi apvienojot zināmus komponentus jaunā, aktīvi izstrādātā variantā.

Ģeogrāfiskais darbības joma un mērķi

Pētnieki ir atraduši pārklājuma lapas, kas pielāgotas bankām ASV, Turcijā, Apvienotajā Karalistē un Polijā, kā arī kriptovalūtu makiem un biržām, kas liecina, ka operatori paplašina mērķa ģeogrāfiju un vertikāles, pārsniedzot sākotnējos novērojumus Itālijā/Brazīlijā. Projekts tiek aktīvi izstrādāts un reklamēts citiem krāpniekiem, izmantojot nelegālus forumus.

Praktiskas darbības prioritāšu noteikšanai

  • Uztveriet tikai uz uzvedību balstītus krāpšanas apkarošanas risinājumus kā vienu signālu daudzslāņu aizsardzībā: apvienojiet ierīces stāvokļa pārbaudes, integritātes pārbaudes (atklājiet piekļuves ļaunprātīgu izmantošanu un sānielādētas lietotnes), tīkla telemetriju un darījumu riska novērtēšanu.
  • Noteikt un bloķēt sānu ielādi un neatļautu pakotņu instalēšanu; uzraudzīt aizdomīgus pārklājuma logus un pieejamības pakalpojumu izmantošanu galapunktos.
  • Nodrošiniet spēcīgu daudzfaktoru autentifikāciju (ja iespējams, izmantojot push vai aparatūras žetonus, izmantojot īsziņas), ierīču aizsardzības pastiprināšanu un savlaicīgus operētājsistēmas/lietotņu atjauninājumus.
  • Ieviesiet darījumu ierobežojumus un sekundāro verifikāciju augsta riska darbībām, kuras varētu ļaunprātīgi izmantot tiešraides sesijas laikā.

Tehniskā atziņa

Atšķirībā no vienkāršiem akreditācijas datu ievākšanas Trojas zirgiem, Herodotus ir izstrādāts tā, lai paliktu aktīvs tiešraides sesiju laikā un veiktu attālinātu, sesijas saglabājošu kontu pārņemšanu. Tas padara īpaši svarīgu reāllaika noteikšanu un sesijas laikā veicamos risku mazināšanas pasākumus (piemēram, pārklājumu noteikšanu, neparastu ievades modeļu noteikšanu, kas neatbilst ierīces stāvoklim, vai vienlaicīgu ekrāna straumēšanu).

Tendences

Tīmekļa pasta servera brīdinājuma krāpniecība

Pikšķerēšana, Mēstules
Pastāvīgi mainīgajā kiberdraudu vidē krāpniecības shēmas, kas maskējas kā likumīgi paziņojumi, kļūst arvien sarežģītākas. Webmail Server Alert Scam ir spilgts piemērs, kas uzbrūk neko nenojaušošiem lietotājiem ar krāpnieciskiem e-pastiem, kas šķietami nāk no cienījamiem tīmekļa pasta pakalpojumiem. Šie e-pasti nav saistīti ar likumīgiem uzņēmumiem, organizācijām vai pakalpojumu sniedzējiem un...

Visvairāk skatīts

Ļaunprātīga programmatūra

Pikšķerēšana, Mēstules
33,141
Krāpniecības ziņojums “Apple Pay Suspended” ir pikšķerēšanas taktikas veids, kas ir vērsts uz Apple Pay lietotājiem. Ziņojumā tiek apgalvots, ka lietotāja Apple Pay maka darbība ir apturēta, un tiek mudināts noklikšķināt uz saites, lai to atjaunotu. Tomēr, noklikšķinot uz saites, lietotājs tiks novirzīts uz viltotu vietni, kas paredzēta viņa personiskās un finanšu informācijas zagšanai. Ja...
Notiek ielāde...