Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Mobiele malware Herodotus mobiele malware

Herodotus mobiele malware

Tegen Mezo in Mobiele malware, Bankieren Trojan
Vertalen naar:

Beveiligingsonderzoekers hebben een nieuwe Android-banktrojan ontdekt, Herodotus genaamd, die wordt gebruikt in actieve Device Takeover (DTO)-campagnes. Er is al eerder activiteit waargenomen die gericht was op gebruikers in Italië en Brazilië, en analyse wijst uit dat de malware wordt aangeboden als Malware-as-a-Service (MaaS).

Nep-Chroom-dropper, SMiShing en zijlading

Operators verspreiden Herodotus via dropper-applicaties die zich voordoen als legitieme apps (naar verluidt vermomd als Google Chrome met pakketnamen als com.cd3.app) en slachtoffers lokken via sms-phishing en andere social-engineering-methoden. Zodra de dropper is geïnstalleerd (vaak via sideloading), haalt deze de schadelijke payload op en installeert deze.

Capaciteiten van Herodotus

  • Misbruik de toegankelijkheidsservices van Android om het scherm te beheren, ondoorzichtige overlays te tonen en nep-inlogpagina's weer te geven in bank- en crypto-apps.
  • Onderschep en exfiltreer scherminhoud en sms-berichten (inclusief 2FA-codes).
  • Kan zichzelf extra machtigingen verlenen, pincodes of patronen voor het vergrendelscherm vastleggen, APK's op afstand installeren en binnen livesessies blijven in plaats van alleen statische inloggegevens te stelen.
  • Registreer toetsaanslagen, stream schermen en voer externe invoeracties uit om accountovername uit te voeren.

'Humanisering' van fraude op afstand om gedragsdetectoren te omzeilen

De opvallendste eigenschap van Herodotus is de poging om de timing van menselijke interactie na te bootsen. De malware kan willekeurige vertragingen toevoegen tussen geautomatiseerde invoergebeurtenissen (gerapporteerde vertraging tussen ~300 en 3000 milliseconden), waardoor typen op afstand meer op een echte gebruiker lijkt en minder op de snelheid van een machine – een duidelijke poging om op timing of gedrag gebaseerde antifraude en biometrische detectie te omzeilen. Deze willekeurige timing wordt beschreven als een bewuste poging om verdedigingen te omzeilen die voornamelijk afhankelijk zijn van invoertempo en toetsaanslagcadans.

Verbindingen met Brokewell

Uit analyse blijkt dat Herodotus niet zomaar een nieuwe versie van Brokewell is, maar dat het technieken en codefragmenten (waaronder verduisteringsmethoden en letterlijke verwijzingen zoals markers als 'BRKWL_JAVA') van Brokewell en andere families lijkt te hebben hergebruikt. Zo zijn bekende componenten effectief samengevoegd tot een nieuwe, actief ontwikkelde stam.

Geografische reikwijdte en doelen

Onderzoekers hebben overlaypagina's gevonden die speciaal zijn ontworpen voor banken in de VS, Turkije, het VK en Polen, en voor cryptocurrency wallets en exchanges – bewijs dat de exploitanten hun doelgebied en -markten uitbreiden voorbij de aanvankelijke waarnemingen in Italië en Brazilië. Het project is actief in ontwikkeling en wordt via ondergrondse fora onder de aandacht gebracht van andere fraudeurs.

Praktische acties om prioriteit te geven

  • Behandel antifraudeoplossingen die uitsluitend op gedrag zijn gericht als één signaal in een gelaagde verdediging: combineer apparaatstatus, integriteitscontroles (misbruik van toegankelijkheid en side-loaded apps detecteren), netwerktelemetrie en transactierisicoscores.
  • Detecteer en blokkeer sideloading en ongeautoriseerde pakketinstallaties; controleer op verdachte overlayvensters en het gebruik van de toegankelijkheidsservice op eindpunten.
  • Zorg voor krachtige multifactorauthenticatie (push of hardwaretokens via sms waar mogelijk), versterk uw apparaten en zorg voor tijdige updates van besturingssystemen en apps.
  • Implementeer transactiebeperkingen en secundaire verificatie voor acties met een hoog risico die tijdens een livesessie kunnen worden misbruikt.

Technische afhaalmaaltijd

In tegenstelling tot eenvoudige trojans die inloggegevens verzamelen, is Herodotus ontworpen om actief te blijven tijdens livesessies en om op afstand accountovernames uit te voeren die de sessie behouden. Dit maakt realtime detectie en in-sessie mitigatiemaatregelen (bijvoorbeeld het detecteren van overlays, ongebruikelijke invoerpatronen die niet overeenkomen met de apparaatstatus of gelijktijdige schermstreaming) bijzonder belangrijk.

Trending

Meest bekeken

Bezig met laden...