Herodotus mobil skadelig programvare
Sikkerhetsforskere har avdekket en ny Android-banktrojaner ved navn Herodotus som brukes i aktive enhetsovertakelseskampanjer (DTO-kampanjer). Tidlig aktivitet har blitt observert rettet mot brukere i Italia og Brasil, og analyser indikerer at skadevaren tilbys som Malware-as-a-Service (MaaS).
Innholdsfortegnelse
Falsk kromdropper, SMiShing og sidelasting
Operatører distribuerer Herodot via dropper-applikasjoner som utgir seg for å være legitime apper (angivelig maskert som Google Chrome med pakkenavn som com.cd3.app) og lokker ofre gjennom SMS-phishing og andre sosial manipuleringsvektorer. Når dropper-applikasjonen er installert (ofte via sidelasting), henter og installerer den den skadelige nyttelasten.
Herodots evner
- Misbruk Androids tilgjengelighetstjenester til å kontrollere skjermen, presentere ugjennomsiktige overlegg og vise falske påloggingssider over bank- og kryptoapper.
- Avlytte og eksfiltrere innhold på skjermen og SMS-meldinger (inkludert 2FA-koder).
- Gi seg selv ekstra tillatelser, fange opp PIN-koder eller -mønstre for låseskjermen, installer eksterne APK-er og lagre dem i live-økter i stedet for bare å stjele statiske påloggingsinformasjoner.
- Logg tastetrykk, strøm skjermbilder og utfør eksterne inputhandlinger for å utføre kontoovertakelse.
«Humanisering» av fjernsvindel for å slå atferdsdetektorer
Herodots' enestående trekk er forsøket på å etterligne timing av menneskelig interaksjon. Skadevaren kan legge til tilfeldige forsinkelser mellom automatiserte inndatahendelser (rapportert forsinkelsesområde ~300–3000 millisekunder), slik at fjernskriving ser mer ut som en ekte bruker og mindre som maskinhastighet – et tydelig forsøk på å omgå timing- eller atferdsbasert anti-svindel og biometrisk deteksjon. Denne tilfeldige timing-funksjonen beskrives som et bevisst forsøk på å omgå forsvar som primært er avhengig av inndatatempo og tastetrykkkadens.
Forbindelser til Brokewell
Analyser viser at Herodot ikke bare er en ny versjon av Brokewell, men at den ser ut til å ha gjenbrukt teknikker og kodefragmenter (inkludert obfuskasjonsmetoder og bokstavelige referanser som markører som 'BRKWL_JAVA') fra Brokewell og andre familier – og effektivt sydd kjente komponenter inn i en ny, aktivt utviklet stamme.
Geografisk omfang og mål
Forskere har funnet overleggssider skreddersydd for banker i USA, Tyrkia, Storbritannia og Polen, og for kryptovaluta-lommebøker og -børser – bevis på at operatørene utvider målgeografi og vertikaler utover de første observasjonene i Italia/Brasil. Prosjektet er aktivt under utvikling og markedsføres til andre svindelaktører via undergrunnsfora.
Praktiske tiltak for å prioritere
- Behandle atferdsbaserte antisvindelløsninger som ett signal i et lagdelt forsvar: kombiner enhetstilstand, integritetskontroller (oppdag tilgjengelighetsmisbruk og sidelastede apper), nettverkstelemetri og risikovurdering av transaksjoner.
- Oppdag og blokker sidelasting og uautoriserte pakkeinstallasjoner; overvåk mistenkelige overleggsvinduer og bruk av tilgjengelighetstjenester på endepunkter.
- Håndhev sterk flerfaktorautentisering (push- eller maskinvaretokener via SMS der det er mulig), enhetsherding og rettidige OS-/appoppdateringer.
- Implementer transaksjonsbegrensninger og sekundær verifisering for høyrisikohandlinger som kan misbrukes under en live-økt.
Teknisk konklusjon
I motsetning til enkle trojanere som samler påloggingsinformasjon, er Herodotus designet for å forbli aktiv under live-økter og for å utføre eksterne, øktbevarende kontoovertakelser. Det gjør sanntidsdeteksjon og tiltak i økter (for eksempel deteksjon av overlegg, uvanlige inndatamønstre som er inkonsistente med enhetstilstand eller samtidig skjermstrømming) spesielt viktig.
