Херодот Мобилни Злонамерни Софтвер

Истраживачи безбедности открили су новог тројанског коња за Андроид банкарство под називом Herodotus који се користи у кампањама активног преузимања уређаја (DTO). Примећена је рана активност усмерена на кориснике у Италији и Бразилу, а анализа показује да се злонамерни софтвер нуди као злонамерни софтвер као услуга (MaaS).

Лажни Chrome Dropper, SMiShing и бочно учитавање

Оператори дистрибуирају Херодот путем апликација за спуштање које се представљају као легитимне апликације (наводно се маскирају као Google Chrome са називима пакета као што је com.cd3.app) и маме жртве путем SMS фишинга и других вектора социјалног инжењеринга. Након што се апликација инсталира (често путем бочног учитавања), она преузима и инсталира злонамерни садржај.

Херодотове способности

• Злоупотреба услуга приступачности на Андроиду за контролу екрана, приказивање непрозирних преклапања и приказивање лажних страница за пријаву преко банкарских и крипто апликација.
• Пресретање и извлачење садржаја на екрану и СМС порука (укључујући 2FA кодове).
• Додели себи додатне дозволе, снима ПИН-ове или обрасце за закључавање екрана, инсталира удаљене APK-ове и опстаје унутар активних сесија уместо да само краде статичке акредитиве.
• Бележите притиске тастера, стримујте екране и обављајте даљинске радње уноса како бисте преузели контролу над налогом.

„Хуманизација“ даљинске преваре ради превазилажења детектора понашања

Херодотова изузетна карактеристика је покушај имитирања времена људске интеракције. Злонамерни софтвер може да дода насумична кашњења између аутоматизованих догађаја уноса (пријављени распон кашњења је ~300–3.000 милисекунди) тако да куцање на даљину више личи на стварног корисника, а мање на брзину машине — јасан покушај да се заобиђу мере заштите од превара засноване на времену или понашању и биометријска детекција. Ова рандомизација времена се описује као намерни покушај да се савладају одбрамбени механизми који се првенствено ослањају на темпо уноса и каденцу откуцаја тастера.

Везе са Броквелом

Анализа показује да Херодот није само нова верзија Броуквела, већ изгледа да је поново користио технике и фрагменте кода (укључујући методе замагљивања и дословне референце као што су маркери попут „BRKWL_JAVA“) из Броуквела и других породица — ефикасно спајајући познате компоненте у нови, активно развијени сој.

Географски обим и циљеви

Истраживачи су пронашли преклапајуће странице прилагођене банкама у САД, Турској, Великој Британији и Пољској, као и за криптовалутне новчанике и берзе – што је доказ да оператери шире циљну географију и вертикале изван почетних виђења у Италији/Бразилу. Пројекат је активно у развоју и пласира се другим актерима превара путем подземних форума.

Практичне акције којима треба дати приоритет

• Третирајте решења за заштиту од превара заснована само на понашању као један сигнал у слојевитој одбрани: комбинујте стање уређаја, провере интегритета (откривање злоупотребе приступачности и бочно учитаних апликација), мрежну телеметрију и бодовање ризика трансакција.
• Детекција и блокирање бочног учитавања и неовлашћених инсталација пакета; праћење сумњивих преклапајућих прозора и коришћења услуга приступачности на крајњим тачкама.
• Спроведите јаку вишефакторску аутентификацију (push или хардверске токене преко SMS-а где је то могуће), јачање уређаја и благовремена ажурирања ОС/апликација.
• Имплементирајте ограничења трансакција и секундарну верификацију за високоризичне радње које би могле бити злоупотребљене током сесије уживо.

Технички закључак

За разлику од једноставних тројанских коња који краду акредитиве, Херодот је дизајниран да остане активан током живих сесија и да врши даљинско преузимање налога, уз очување сесије. Због тога је детекција у реалном времену и мере за ублажавање током сесије (на пример, детекција преклапања, необичних образаца уноса који нису у складу са стањем уређаја или истовременог стримовања екрана) посебно важно.