Oferta rabatowa na wiele licencji
Baza danych zagrożeń Mobilne złośliwe oprogramowanie Herodotus Mobile Malware

Herodotus Mobile Malware

Do Mezo w Mobilne złośliwe oprogramowanie, Trojan bankowy
Przetłumacz na:

Badacze bezpieczeństwa odkryli nowego trojana bankowego dla systemu Android o nazwie Herodotus, który jest wykorzystywany w aktywnych kampaniach przejmowania urządzeń (DTO). Wczesną aktywność zaobserwowano na użytkownikach we Włoszech i Brazylii, a analiza wskazuje, że złośliwe oprogramowanie jest oferowane w modelu Malware-as-a-Service (MaaS).

Fałszywy Chrome Dropper, SMiShing i ładowanie boczne

Operatorzy dystrybuują Herodotusa za pośrednictwem aplikacji typu dropper, które podszywają się pod legalne aplikacje (podobno podszywając się pod Google Chrome, używając nazw pakietów takich jak com.cd3.app) i zwabiają ofiary za pomocą phishingu SMS i innych wektorów socjotechnicznych. Po zainstalowaniu droppera (często poprzez sideloading), pobiera on i instaluje złośliwy kod.

Możliwości Herodota

  • Nadużywaj usług ułatwień dostępu Androida w celu kontrolowania ekranu, wyświetlania nieprzezroczystych nakładek i fałszywych stron logowania w aplikacjach bankowych i kryptowalutowych.
  • Przechwytywanie i eksfiltracja treści wyświetlanych na ekranie oraz wiadomości SMS (w tym kodów 2FA).
  • Przyznaje sobie dodatkowe uprawnienia, przechwytuje kody PIN lub wzorce blokady ekranu, instaluje zdalne pakiety APK i pozostaje aktywny w sesjach na żywo, zamiast po prostu kraść statyczne dane uwierzytelniające.
  • Rejestruj naciśnięcia klawiszy, przesyłaj strumieniowo ekrany i wykonuj zdalne działania wejściowe w celu przejęcia konta.

„Humanizacja” oszustw zdalnych w celu pokonania detektorów behawioralnych

Cechą charakterystyczną Herodotusa jest próba naśladowania czasu interakcji człowieka. Szkodliwe oprogramowanie może dodawać losowe opóźnienia między zautomatyzowanymi zdarzeniami wprowadzania danych (zgłaszany zakres opóźnień wynosi ~300–3000 milisekund), dzięki czemu zdalne pisanie przypomina bardziej pisanie przez prawdziwego użytkownika, a mniej przez maszynę – to ewidentna próba obejścia systemów antyfraudowych i biometrycznych opartych na czasie lub zachowaniu. Ta randomizacja czasu jest opisywana jako celowa próba obejścia zabezpieczeń opartych głównie na tempie wprowadzania danych i rytmie naciśnięć klawiszy.

Połączenia z Brokewell

Analiza pokazuje, że Herodotus nie jest po prostu nową wersją Brokewell, ale prawdopodobnie wykorzystano w nim ponownie techniki i fragmenty kodu (w tym metody zaciemniania i odniesienia dosłowne, takie jak znaczniki typu „BRKWL_JAVA”) z Brokewell i innych rodzin — skutecznie łącząc znane komponenty w nową, aktywnie rozwijaną odmianę.

Zakres geograficzny i cele

Badacze znaleźli nakładki na strony stworzone specjalnie dla banków w USA, Turcji, Wielkiej Brytanii i Polsce, a także dla portfeli i giełd kryptowalut – dowód na to, że operatorzy poszerzają geograficzny zasięg i branże poza początkowe doniesienia o Włoszech i Brazylii. Projekt jest aktywnie rozwijany i promowany wśród innych oszustów za pośrednictwem podziemnych forów.

Praktyczne działania mające na celu ustalenie priorytetów

  • Rozwiązania antyfraudowe oparte wyłącznie na zachowaniu traktuj jako jeden sygnał w wielowarstwowej obronie: połącz postawę urządzenia, kontrole integralności (wykrywanie nadużyć w zakresie ułatwień dostępu i aplikacji ładowanych z boku), dane telemetryczne sieci i ocenę ryzyka transakcji.
  • Wykrywaj i blokuj instalowanie pakietów z boku systemu oraz nieautoryzowane instalacje; monitoruj pod kątem podejrzanych okien nakładek i korzystania z usług ułatwień dostępu na punktach końcowych.
  • Wprowadź silne uwierzytelnianie wieloskładnikowe (jeśli to możliwe, wysyłaj tokeny sprzętowe za pośrednictwem wiadomości SMS), wzmocnij zabezpieczenia urządzeń i przeprowadzaj terminowe aktualizacje systemu operacyjnego/aplikacji.
  • Wprowadź ograniczenia transakcji i weryfikację wtórną dla działań wysokiego ryzyka, które mogą paść ofiarą nadużyć podczas sesji na żywo.

Podsumowanie techniczne

W przeciwieństwie do prostych trojanów zbierających dane uwierzytelniające, Herodotus został zaprojektowany tak, aby pozostawać aktywnym podczas sesji na żywo i przeprowadzać zdalne przejęcia kont z zachowaniem sesji. To sprawia, że wykrywanie w czasie rzeczywistym i ograniczanie ryzyka w trakcie sesji (na przykład wykrywanie nakładek, nietypowych wzorców wprowadzania danych niezgodnych ze stanem urządzenia lub jednoczesnego strumieniowania ekranu) jest szczególnie ważne.

Popularne

Oszustwo związane z alertem serwera poczty internetowej

Phishing, Spam
W stale zmieniającym się krajobrazie cyberzagrożeń, oszustwa podszywające się pod legalne powiadomienia stają się coraz bardziej wyrafinowane. Oszustwo Webmail Server Alert Scam jest tego doskonałym przykładem, atakując niczego niepodejrzewających użytkowników fałszywymi wiadomościami e-mail, które pozornie pochodzą z renomowanych usług poczty internetowej. Wiadomości te nie są powiązane z...

Najczęściej oglądane

Ładowanie...