हेरोडोटस मोबाइल मालवेयर
सुरक्षा अनुसन्धानकर्ताहरूले हेरोडोटस नामक नयाँ एन्ड्रोइड बैंकिङ ट्रोजन पत्ता लगाएका छन् जुन सक्रिय उपकरण-टेकओभर (DTO) अभियानहरूमा प्रयोग भइरहेको छ। इटाली र ब्राजिलका प्रयोगकर्ताहरूलाई लक्षित गर्दै प्रारम्भिक गतिविधि अवलोकन गरिएको छ, र विश्लेषणले मालवेयरलाई मालवेयर-एज-ए-सर्भिस (MaaS) को रूपमा प्रस्ताव गरिएको संकेत गर्दछ।
सामग्रीको तालिका
बोगस क्रोम ड्रपर, स्मिसिङ, र साइड-लोडिङ
अपरेटरहरूले ड्रपर एप्लिकेसनहरू मार्फत हेरोडोटस वितरण गर्छन् जसले वैध एपहरू (कथित रूपमा com.cd3.app जस्ता प्याकेज नामहरू सहित गुगल क्रोमको रूपमा भेषमा) को नक्कल गर्छन् र SMS फिसिङ र अन्य सामाजिक-इन्जिनियरिङ भेक्टरहरू मार्फत पीडितहरूलाई लोभ्याउँछन्। एक पटक ड्रपर स्थापना भएपछि (प्रायः साइड-लोडिङ मार्फत), यसले दुर्भावनापूर्ण पेलोड ल्याउँछ र स्थापना गर्दछ।
हेरोडोटसको क्षमताहरू
- स्क्रिन नियन्त्रण गर्न, अपारदर्शी ओभरले प्रस्तुत गर्न र बैंकिङ र क्रिप्टो एपहरूमा नक्कली लगइन पृष्ठहरू प्रदर्शन गर्न एन्ड्रोइड पहुँच सेवाहरूको दुरुपयोग गर्नुहोस्।
- स्क्रिनमा रहेका सामग्री र SMS सन्देशहरू (२FA कोडहरू सहित) लाई अवरोध गर्नुहोस् र एक्सफिल्टर गर्नुहोस्।
- आफैलाई अतिरिक्त अनुमतिहरू प्रदान गर्नुहोस्, लक-स्क्रिन PIN वा ढाँचाहरू खिच्नुहोस्, रिमोट APKहरू स्थापना गर्नुहोस्, र स्थिर प्रमाणहरू चोर्नुको सट्टा लाइभ सत्रहरू भित्रै रहनुहोस्।
- खाता अधिग्रहण गर्न किस्ट्रोकहरू लग गर्नुहोस्, स्क्रिनहरू स्ट्रिम गर्नुहोस्, र रिमोट इनपुट कार्यहरू गर्नुहोस्।
व्यवहारिक डिटेक्टरहरूलाई हराउन रिमोट फ्रडलाई 'मानवीकरण' गर्दै
हेरोडोटसको उत्कृष्ट विशेषता भनेको मानव अन्तरक्रिया समयको नक्कल गर्ने यसको प्रयास हो। मालवेयरले स्वचालित इनपुट घटनाहरू (रिपोर्ट गरिएको ढिलाइ दायरा ~३००–३,००० मिलिसेकेन्ड) बीच अनियमित ढिलाइहरू थप्न सक्छ त्यसैले रिमोट टाइपिङ वास्तविक प्रयोगकर्ता जस्तो देखिन्छ र मेसिनको गति जस्तो कम देखिन्छ - समय-वा व्यवहार-आधारित एन्टी-फ्रड र बायोमेट्रिक पत्ता लगाउने बाइपास गर्ने स्पष्ट प्रयास। यो समय अनियमिततालाई मुख्यतया इनपुट टेम्पो र किस्ट्रोक तालमा निर्भर प्रतिरक्षाहरूलाई हराउन जानाजानी प्रयासको रूपमा वर्णन गरिएको छ।
ब्रोकवेलसँगको सम्बन्ध
विश्लेषणले देखाउँछ कि हेरोडोटस केवल ब्रोकवेलको नयाँ संस्करण मात्र होइन, तर यसमा ब्रोकवेल र अन्य परिवारहरूबाट पुन: प्रयोग गरिएका प्रविधिहरू र कोड टुक्राहरू (अस्पष्ट विधिहरू र 'BRKWL_JAVA' जस्ता मार्करहरू जस्ता शाब्दिक सन्दर्भहरू सहित) छन् - प्रभावकारी रूपमा ज्ञात घटकहरूलाई नयाँ, सक्रिय रूपमा विकसित स्ट्रेनमा सिलाई गर्ने।
भौगोलिक क्षेत्र र लक्ष्यहरू
अनुसन्धानकर्ताहरूले अमेरिका, टर्की, बेलायत र पोल्याण्डका बैंकहरू र क्रिप्टोकरेन्सी वालेट र एक्सचेन्जहरूका लागि तयार पारिएका ओभरले पृष्ठहरू फेला पारेका छन् - जसले सञ्चालकहरूले प्रारम्भिक इटाली/ब्राजिल दृश्यभन्दा बाहिर लक्षित भूगोल र ठाडो क्षेत्रहरू विस्तार गरिरहेका छन् भन्ने प्रमाण दिन्छ। परियोजना सक्रिय रूपमा विकास अन्तर्गत छ र भूमिगत फोरमहरू मार्फत अन्य ठगी अभिनेताहरूलाई मार्केटिङ गरिएको छ।
प्राथमिकता दिनुपर्ने व्यावहारिक कार्यहरू
- व्यवहार-मात्र एन्टी-फ्रड समाधानहरूलाई स्तरित प्रतिरक्षामा एउटा संकेतको रूपमा व्यवहार गर्नुहोस्: उपकरणको स्थिति, अखण्डता जाँचहरू (पहुँचयोग्यता दुरुपयोग र साइड-लोड गरिएका एपहरू पत्ता लगाउनुहोस्), नेटवर्क टेलिमेट्री, र लेनदेन जोखिम स्कोरिङलाई संयोजन गर्नुहोस्।
- साइड-लोडिङ र अनधिकृत प्याकेज स्थापनाहरू पत्ता लगाउनुहोस् र रोक्नुहोस्; शंकास्पद ओभरले विन्डोज र एन्डपोइन्टहरूमा पहुँच सेवा प्रयोगको लागि निगरानी गर्नुहोस्।
- बलियो बहु-कारक प्रमाणीकरण (सम्भव भएसम्म SMS मार्फत पुश वा हार्डवेयर टोकनहरू), उपकरण कडाइ, र समयमै OS/एप अद्यावधिकहरू लागू गर्नुहोस्।
- प्रत्यक्ष सत्रको समयमा दुरुपयोग हुन सक्ने उच्च जोखिम कार्यहरूको लागि लेनदेन थ्रोटलहरू र माध्यमिक प्रमाणीकरण लागू गर्नुहोस्।
प्राविधिक टेकवे
साधारण क्रेडेन्सियल-हार्वेस्टिङ ट्रोजनहरू भन्दा फरक, हेरोडोटसलाई लाइभ सत्रहरूमा सक्रिय रहन र रिमोट, सत्र-संरक्षण खाता अधिग्रहण गर्न डिजाइन गरिएको हो। यसले वास्तविक-समय पत्ता लगाउने र सत्रमा न्यूनीकरणहरू (उदाहरणका लागि, ओभरलेहरू पत्ता लगाउने, उपकरणको अवस्थासँग असंगत असामान्य इनपुट ढाँचाहरू, वा एकैसाथ स्क्रिन स्ट्रिमिङ) विशेष गरी महत्त्वपूर्ण बनाउँछ।
