Perisian Hasad Mudah Alih Herodotus

Penyelidik keselamatan telah menemui trojan perbankan Android baharu bernama Herodotus yang sedang digunakan dalam kempen pengambilalihan peranti (DTO) yang aktif. Aktiviti awal telah diperhatikan menyasarkan pengguna di Itali dan Brazil, dan analisis menunjukkan perisian hasad ditawarkan sebagai Malware‑as‑a-Service (MaaS).

Penitis Chrome Bogus, SMiShing dan Pemuatan Sisi

Operator mengedarkan Herodotus melalui aplikasi penitis yang menyamar sebagai apl yang sah (dilaporkan menyamar sebagai Google Chrome dengan nama pakej seperti com.cd3.app) dan memikat mangsa melalui pancingan data SMS dan vektor kejuruteraan sosial yang lain. Setelah penitis dipasang (selalunya melalui pemuatan sisi), ia mengambil dan memasang muatan berniat jahat.

Keupayaan Herodotus

• Menyalahgunakan perkhidmatan Kebolehcapaian Android untuk mengawal skrin, menampilkan tindanan legap dan memaparkan halaman log masuk palsu melalui apl perbankan dan crypto.
• Minta dan keluarkan kandungan pada skrin dan mesej SMS (termasuk kod 2FA).
• Berikan kebenaran tambahan kepada dirinya sendiri, tangkap PIN atau corak skrin kunci, pasang APK jauh dan berterusan dalam sesi langsung dan bukannya hanya mencuri bukti kelayakan statik.
• Log ketukan kekunci, strim skrin dan lakukan tindakan input jauh untuk menjalankan pengambilalihan akaun.

'Memanusiakan' Penipuan Jauh Untuk Menewaskan Pengesan Tingkah Laku

Ciri menonjol Herodotus ialah percubaannya untuk meniru masa interaksi manusia. Perisian hasad boleh menambah kelewatan rawak antara peristiwa input automatik (julat kelewatan yang dilaporkan ~300–3,000 milisaat) jadi penaipan jauh kelihatan lebih seperti pengguna sebenar dan kurang seperti kelajuan mesin — usaha yang jelas untuk memintas masa atau berdasarkan pengesanan anti-penipuan dan biometrik. Rawak masa ini digambarkan sebagai percubaan sengaja untuk mengalahkan pertahanan yang bergantung terutamanya pada tempo input dan irama ketukan kekunci.

Sambungan Ke Brokewell

Analisis menunjukkan Herodotus bukan sekadar versi baharu Brokewell, tetapi ia nampaknya menggunakan teknik dan serpihan kod yang digunakan semula (termasuk kaedah pengeliruan dan rujukan literal seperti penanda seperti 'BRKWL_JAVA') daripada Brokewell dan keluarga lain — mencantumkan komponen yang diketahui secara berkesan menjadi regangan baharu yang dibangunkan secara aktif.

Skop Dan Sasaran Geografi

Penyelidik telah memulihkan halaman tindanan yang disesuaikan untuk bank di AS, Turki, UK dan Poland, dan untuk dompet dan pertukaran mata wang kripto — bukti pengendali meluaskan geografi sasaran dan menegak melangkaui penampakan awal Itali/Brazil. Projek ini sedang giat dibangunkan dan dipasarkan kepada pelaku penipuan lain melalui forum bawah tanah.

Tindakan Praktikal Untuk Diutamakan

• Anggap penyelesaian anti-penipuan tingkah laku sahaja sebagai satu isyarat dalam pertahanan berlapis: menggabungkan postur peranti, semakan integriti (mengesan penyalahgunaan kebolehaksesan dan apl dimuatkan sisi), telemetri rangkaian dan pemarkahan risiko transaksi.
• Kesan dan sekat pemuatan sisi dan pemasangan pakej yang tidak dibenarkan; pantau tetingkap tindanan yang mencurigakan dan penggunaan perkhidmatan kebolehaksesan pada titik akhir.
• Kuatkuasakan pengesahan berbilang faktor yang kuat (token tolak atau perkakasan melalui SMS jika boleh), pengerasan peranti dan kemas kini OS/apl yang tepat pada masanya.
• Laksanakan pendikit transaksi dan pengesahan kedua untuk tindakan berisiko tinggi yang boleh disalahgunakan semasa sesi langsung.

Teknikal Takeaway

Tidak seperti trojan penuaian kelayakan mudah, Herodotus direka bentuk untuk kekal aktif semasa sesi langsung dan untuk menjalankan pengambilalihan akaun yang memelihara sesi jauh. Itu menjadikan pengesanan masa nyata dan pengurangan sesi (contohnya, pengesanan tindanan, corak input luar biasa yang tidak konsisten dengan keadaan peranti atau penstriman skrin serentak) amat penting.