มัลแวร์มือถือ Herodotus

นักวิจัยด้านความปลอดภัยได้ค้นพบโทรจันธนาคารแอนดรอยด์ตัวใหม่ชื่อ Herodotus ซึ่งกำลังถูกใช้ในแคมเปญยึดครองอุปกรณ์ (DTO) ก่อนหน้านี้มีการตรวจพบกิจกรรมในช่วงแรกโดยมุ่งเป้าไปที่ผู้ใช้ในอิตาลีและบราซิล และการวิเคราะห์บ่งชี้ว่ามัลแวร์นี้ถูกนำเสนอในรูปแบบ Malware-as-a-Service (MaaS)

ดรอปเปอร์โครเมียมปลอม SMiShing และการโหลดด้านข้าง

ผู้ให้บริการเผยแพร่ Herodotus ผ่านแอปพลิเคชันดรอปเปอร์ที่ปลอมตัวเป็นแอปที่ถูกกฎหมาย (มีรายงานว่าปลอมตัวเป็น Google Chrome โดยใช้ชื่อแพ็กเกจอย่าง com.cd3.app) และล่อเหยื่อด้วย SMS ฟิชชิ่งและเวกเตอร์ทางวิศวกรรมสังคมอื่นๆ เมื่อติดตั้งดรอปเปอร์แล้ว (ซึ่งมักจะทำผ่านการโหลดจากด้านข้าง) มันจะดึงและติดตั้งเพย์โหลดที่เป็นอันตราย

ความสามารถของเฮโรโดตัส

• ใช้บริการการเข้าถึง Android ในทางที่ผิดเพื่อควบคุมหน้าจอ แสดงภาพซ้อนทึบ และแสดงหน้าเข้าสู่ระบบปลอมบนแอปธนาคารและคริปโต
• สกัดกั้นและดึงเนื้อหาบนหน้าจอและข้อความ SMS (รวมถึงรหัส 2FA)
• ให้สิทธิ์พิเศษแก่ตัวเอง จับรหัส PIN หรือรูปแบบล็อคหน้าจอ ติดตั้ง APK ระยะไกล และคงอยู่ในเซสชันสดแทนที่จะขโมยข้อมูลประจำตัวแบบคงที่เท่านั้น
• บันทึกการกดแป้นพิมพ์ สตรีมหน้าจอ และดำเนินการป้อนข้อมูลจากระยะไกลเพื่อดำเนินการควบคุมบัญชี

'การทำให้มนุษย์เป็นมนุษย์' ในการฉ้อโกงระยะไกลเพื่อเอาชนะเครื่องตรวจจับพฤติกรรม

คุณสมบัติที่โดดเด่นของเฮโรโดตัสคือความพยายามเลียนแบบจังหวะเวลาการโต้ตอบของมนุษย์ มัลแวร์สามารถเพิ่มความล่าช้าแบบสุ่มระหว่างเหตุการณ์การป้อนข้อมูลอัตโนมัติ (ช่วงความล่าช้าที่รายงาน ~300–3,000 มิลลิวินาที) ทำให้การพิมพ์จากระยะไกลดูเหมือนผู้ใช้จริงมากขึ้น และไม่เหมือนความเร็วของเครื่อง ซึ่งเป็นความพยายามอย่างชัดเจนที่จะหลีกเลี่ยงการตรวจจับการฉ้อโกงและไบโอเมตริกซ์ที่อิงตามจังหวะเวลาหรือพฤติกรรม การสุ่มจังหวะเวลานี้ถูกอธิบายว่าเป็นความพยายามโดยเจตนาที่จะเอาชนะระบบป้องกันที่อาศัยจังหวะการป้อนข้อมูลและจังหวะการกดแป้นพิมพ์เป็นหลัก

การเชื่อมต่อกับโบรคเวลล์

การวิเคราะห์แสดงให้เห็นว่า Herodotus ไม่ใช่แค่เวอร์ชันใหม่ของ Brokewell เท่านั้น แต่ดูเหมือนว่าจะนำเทคนิคและชิ้นส่วนของโค้ด (รวมถึงวิธีการบิดเบือนและการอ้างอิงตามตัวอักษร เช่น เครื่องหมายเช่น 'BRKWL_JAVA') จาก Brokewell และตระกูลอื่นๆ มาใช้ซ้ำ — โดยเย็บส่วนประกอบที่รู้จักเข้ากับสายพันธุ์ใหม่ที่ได้รับการพัฒนาอย่างต่อเนื่องอย่างมีประสิทธิภาพ

ขอบเขตทางภูมิศาสตร์และเป้าหมาย

นักวิจัยได้กู้คืนหน้าเพจโอเวอร์เลย์ที่ปรับแต่งสำหรับธนาคารในสหรัฐอเมริกา ตุรกี สหราชอาณาจักร และโปแลนด์ รวมถึงกระเป๋าเงินดิจิทัลและศูนย์แลกเปลี่ยนสกุลเงินดิจิทัล ซึ่งเป็นหลักฐานที่บ่งชี้ว่าผู้ให้บริการกำลังขยายขอบเขตทางภูมิศาสตร์และเป้าหมายให้กว้างขึ้นกว่าการพบเห็นในอิตาลี/บราซิลในตอนแรก โครงการนี้กำลังอยู่ในระหว่างการพัฒนาอย่างแข็งขันและกำลังทำการตลาดกับผู้ฉ้อโกงรายอื่นๆ ผ่านฟอรัมใต้ดิน

การดำเนินการเชิงปฏิบัติเพื่อจัดลำดับความสำคัญ

• ปฏิบัติต่อโซลูชันป้องกันการฉ้อโกงที่เน้นพฤติกรรมเพียงอย่างเดียวเป็นสัญญาณหนึ่งในการป้องกันแบบหลายชั้น: รวมท่าทางของอุปกรณ์ การตรวจสอบความสมบูรณ์ (ตรวจจับการละเมิดการเข้าถึงและแอปที่โหลดจากภายนอก) การวัดระยะไกลของเครือข่าย และการให้คะแนนความเสี่ยงของธุรกรรม
• ตรวจจับและบล็อกการโหลดจากด้านข้างและการติดตั้งแพ็คเกจที่ไม่ได้รับอนุญาต ตรวจสอบหน้าต่างโอเวอร์เลย์ที่น่าสงสัยและการใช้บริการการเข้าถึงบนจุดสิ้นสุด
• บังคับใช้การตรวจสอบปัจจัยหลายประการที่เข้มงวด (การพุชหรือโทเค็นฮาร์ดแวร์ผ่าน SMS หากเป็นไปได้) การเพิ่มความแข็งแกร่งให้กับอุปกรณ์ และการอัปเดตระบบปฏิบัติการ/แอปตามกำหนดเวลา
• ใช้การควบคุมธุรกรรมและการตรวจสอบรองสำหรับการดำเนินการที่มีความเสี่ยงสูงซึ่งอาจถูกละเมิดระหว่างเซสชันสด

การเรียนรู้ทางเทคนิค

ต่างจากโทรจันเก็บเกี่ยวข้อมูลประจำตัวทั่วไป Herodotus ได้รับการออกแบบมาให้ทำงานอย่างต่อเนื่องตลอดเซสชันสด และดำเนินการควบคุมบัญชีจากระยะไกลแบบรักษาเซสชันไว้ ซึ่งทำให้การตรวจจับแบบเรียลไทม์และการลดผลกระทบระหว่างเซสชัน (เช่น การตรวจจับโอเวอร์เลย์ รูปแบบอินพุตที่ผิดปกติที่ไม่สอดคล้องกับสถานะอุปกรณ์ หรือการสตรีมหน้าจอพร้อมกัน) มีความสำคัญอย่างยิ่ง