హెరోడోటస్ మొబైల్ మాల్వేర్

భద్రతా పరిశోధకులు హెరోడోటస్ అనే కొత్త ఆండ్రాయిడ్ బ్యాంకింగ్ ట్రోజన్‌ను కనుగొన్నారు, దీనిని యాక్టివ్ డివైస్-టేకోవర్ (DTO) ప్రచారాలలో ఉపయోగిస్తున్నారు. ఇటలీ మరియు బ్రెజిల్‌లోని వినియోగదారులను లక్ష్యంగా చేసుకుని ప్రారంభ కార్యకలాపాలు గమనించబడ్డాయి మరియు విశ్లేషణ ప్రకారం మాల్వేర్ మాల్వేర్-యాజ్-ఎ-సర్వీస్ (MaaS)గా అందించబడుతోంది.

బోగస్ క్రోమ్ డ్రాపర్, స్మిషింగ్ మరియు సైడ్-లోడింగ్

ఆపరేటర్లు హెరోడోటస్‌ను డ్రాపర్ అప్లికేషన్‌ల ద్వారా పంపిణీ చేస్తారు, ఇవి చట్టబద్ధమైన యాప్‌లను (com.cd3.app వంటి ప్యాకేజీ పేర్లతో Google Chrome వలె మారువేషంలో ఉన్నట్లు నివేదించబడింది) అనుకరిస్తాయి మరియు SMS ఫిషింగ్ మరియు ఇతర సోషల్ ఇంజనీరింగ్ వెక్టర్‌ల ద్వారా బాధితులను ఆకర్షిస్తాయి. డ్రాపర్ ఇన్‌స్టాల్ చేయబడిన తర్వాత (తరచుగా సైడ్-లోడింగ్ ద్వారా), అది హానికరమైన పేలోడ్‌ను పొందుతుంది మరియు ఇన్‌స్టాల్ చేస్తుంది.

హెరోడోటస్ సామర్థ్యాలు

• స్క్రీన్‌ను నియంత్రించడానికి, అపారదర్శక ఓవర్‌లేలను ప్రదర్శించడానికి మరియు బ్యాంకింగ్ మరియు క్రిప్టో యాప్‌లపై నకిలీ లాగిన్ పేజీలను ప్రదర్శించడానికి Android యాక్సెసిబిలిటీ సేవలను దుర్వినియోగం చేయండి.
• ఆన్-స్క్రీన్ కంటెంట్ మరియు SMS సందేశాలను (2FA కోడ్‌లతో సహా) అడ్డగించి, నివృత్తి చేయండి.
• స్టాటిక్ ఆధారాలను దొంగిలించడం కంటే అదనపు అనుమతులను మంజూరు చేయండి, లాక్-స్క్రీన్ పిన్‌లు లేదా నమూనాలను సంగ్రహించండి, రిమోట్ APKలను ఇన్‌స్టాల్ చేయండి మరియు లైవ్ సెషన్‌లలో కొనసాగండి.
• ఖాతా టేకోవర్‌ను నిర్వహించడానికి కీస్ట్రోక్‌లను లాగ్ చేయండి, స్క్రీన్‌లను స్ట్రీమ్ చేయండి మరియు రిమోట్ ఇన్‌పుట్ చర్యలను చేయండి.

బిహేవియరల్ డిటెక్టర్లను ఓడించడానికి రిమోట్ మోసాన్ని 'మానవీకరించడం'

హెరోడోటస్ యొక్క విశిష్ట లక్షణం మానవ పరస్పర చర్య సమయాన్ని అనుకరించే ప్రయత్నం. మాల్వేర్ ఆటోమేటెడ్ ఇన్‌పుట్ ఈవెంట్‌ల మధ్య యాదృచ్ఛిక జాప్యాలను జోడించగలదు (నివేదించబడిన ఆలస్యం పరిధి ~300–3,000 మిల్లీసెకన్లు) కాబట్టి రిమోట్ టైపింగ్ నిజమైన వినియోగదారుడిలాగా మరియు యంత్ర వేగంలా తక్కువగా కనిపిస్తుంది - టైమింగ్ లేదా ప్రవర్తన ఆధారిత యాంటీ-ఫ్రాడ్ మరియు బయోమెట్రిక్ డిటెక్షన్‌ను దాటవేయడానికి స్పష్టమైన ప్రయత్నం. ఈ టైమింగ్ రాండమైజేషన్ ప్రధానంగా ఇన్‌పుట్ టెంపో మరియు కీస్ట్రోక్ కాడెన్స్‌పై ఆధారపడే రక్షణలను ఓడించడానికి ఉద్దేశపూర్వక ప్రయత్నంగా వర్ణించబడింది.

బ్రోక్‌వెల్‌తో సంబంధాలు

విశ్లేషణ ప్రకారం హెరోడోటస్ కేవలం బ్రోక్‌వెల్ యొక్క కొత్త వెర్షన్ కాదు, కానీ అది బ్రోక్‌వెల్ మరియు ఇతర కుటుంబాల నుండి తిరిగి ఉపయోగించిన పద్ధతులు మరియు కోడ్ భాగాలను (అస్పష్టీకరణ పద్ధతులు మరియు 'BRKWL_JAVA' వంటి మార్కర్‌ల వంటి సాహిత్య సూచనలు) కలిగి ఉన్నట్లు కనిపిస్తుంది - తెలిసిన భాగాలను కొత్త, చురుకుగా అభివృద్ధి చెందిన జాతిలోకి సమర్థవంతంగా కుట్టడం.

భౌగోళిక పరిధి మరియు లక్ష్యాలు

పరిశోధకులు US, టర్కీ, UK మరియు పోలాండ్‌లోని బ్యాంకుల కోసం మరియు క్రిప్టోకరెన్సీ వాలెట్లు మరియు ఎక్స్ఛేంజీల కోసం రూపొందించిన ఓవర్‌లే పేజీలను తిరిగి పొందారు - ఆపరేటర్లు ప్రారంభ ఇటలీ/బ్రెజిల్ వీక్షణలకు మించి లక్ష్య భౌగోళికం మరియు నిలువులను విస్తృతం చేస్తున్నారనే దానికి ఆధారాలు. ఈ ప్రాజెక్ట్ చురుకుగా అభివృద్ధిలో ఉంది మరియు భూగర్భ ఫోరమ్‌ల ద్వారా ఇతర మోసగాళ్లకు విక్రయించబడుతుంది.

ప్రాధాన్యత ఇవ్వవలసిన ఆచరణాత్మక చర్యలు

• ప్రవర్తన-మాత్రమే మోసపూరిత నిరోధక పరిష్కారాలను లేయర్డ్ రక్షణలో ఒక సంకేతంగా పరిగణించండి: పరికర భంగిమ, సమగ్రత తనిఖీలు (యాక్సెసిబిలిటీ దుర్వినియోగం మరియు సైడ్-లోడెడ్ యాప్‌లను గుర్తించడం), నెట్‌వర్క్ టెలిమెట్రీ మరియు లావాదేవీ రిస్క్ స్కోరింగ్‌లను కలపండి.
• సైడ్-లోడింగ్ మరియు అనధికార ప్యాకేజీ ఇన్‌స్టాలేషన్‌లను గుర్తించి బ్లాక్ చేయండి; ఎండ్‌పాయింట్‌లలో అనుమానాస్పద ఓవర్‌లే విండోలు మరియు యాక్సెసిబిలిటీ సర్వీస్ వినియోగాన్ని పర్యవేక్షించండి.
• బలమైన బహుళ-కారకాల ప్రామాణీకరణ (సాధ్యమైన చోట SMS ద్వారా పుష్ లేదా హార్డ్‌వేర్ టోకెన్‌లు), పరికర గట్టిపడటం మరియు సకాలంలో OS/యాప్ నవీకరణలను అమలు చేయండి.
• ప్రత్యక్ష సెషన్ సమయంలో దుర్వినియోగం అయ్యే అధిక-రిస్క్ చర్యల కోసం లావాదేవీ థ్రోటిల్‌లు మరియు ద్వితీయ ధృవీకరణను అమలు చేయండి.

సాంకేతిక టేకావే

సాధారణ ఆధారాల-హార్వెస్టింగ్ ట్రోజన్‌ల మాదిరిగా కాకుండా, హెరోడోటస్ ప్రత్యక్ష సెషన్‌ల సమయంలో చురుకుగా ఉండటానికి మరియు రిమోట్, సెషన్-సంరక్షించే ఖాతా టేకోవర్‌లను నిర్వహించడానికి రూపొందించబడింది. ఇది రియల్-టైమ్ డిటెక్షన్ మరియు ఇన్-సెషన్ మిటిగేషన్‌లను (ఉదాహరణకు, ఓవర్‌లేలను గుర్తించడం, పరికర స్థితికి విరుద్ధంగా ఉన్న అసాధారణ ఇన్‌పుట్ నమూనాలు లేదా ఏకకాల స్క్రీన్ స్ట్రీమింగ్) చాలా ముఖ్యమైనదిగా చేస్తుంది.