Herodotus Mobile Malware

Natuklasan ng mga mananaliksik sa seguridad ang isang bagong Android banking trojan na pinangalanang Herodotus na ginagamit sa mga aktibong device‑takeover (DTO) na kampanya. Naobserbahan ang maagang aktibidad na nagta-target sa mga user sa Italy at Brazil, at isinasaad ng pagsusuri na ang malware ay inaalok bilang Malware‑as‑a‑Service (MaaS).

Bogus Chrome Dropper, SMiShing, At Side-loading

Ang mga operator ay namamahagi ng Herodotus sa pamamagitan ng mga dropper application na nagpapanggap bilang mga lehitimong app (naiulat na nagpapanggap bilang Google Chrome na may mga pangalan ng package tulad ng com.cd3.app) at nang-akit ng mga biktima sa pamamagitan ng SMS phishing at iba pang social-engineering vectors. Kapag na-install na ang dropper (kadalasan sa pamamagitan ng side-loading), kinukuha at ini-install nito ang nakakahamak na payload.

Mga Kakayahan ni Herodotus

• Abuso ang mga serbisyo ng Android Accessibility para makontrol ang screen, magpakita ng mga opaque na overlay, at magpakita ng mga pekeng login page sa mga banking at crypto app.
• Harangin at i-exfiltrate ang nilalaman sa screen at mga mensaheng SMS (kabilang ang 2FA code).
• Bigyan ang sarili ng mga karagdagang pahintulot, kumuha ng mga PIN o pattern ng lock-screen, mag-install ng malayuang APK, at magpatuloy sa loob ng mga live na session sa halip na magnakaw lang ng mga static na kredensyal.
• Mag-log ng mga keystroke, mag-stream ng mga screen, at magsagawa ng mga remote na pagkilos sa pag-input upang maisagawa ang pagkuha ng account.

'Pagpapatao' ng Malayong Panloloko Upang Talunin ang Mga Detektor ng Pag-uugali

Ang natatanging tampok ni Herodotus ay ang pagtatangka nitong gayahin ang timing ng pakikipag-ugnayan ng tao. Ang malware ay maaaring magdagdag ng mga random na pagkaantala sa pagitan ng mga naka-automate na kaganapan sa pag-input (naiulat na saklaw ng pagkaantala ~300–3,000 millisecond) kaya ang malayuang pagta-type ay mukhang isang tunay na user at hindi katulad ng bilis ng makina — isang malinaw na pagsisikap na i-bypass ang timing-o batay sa gawi na anti-fraud at biometric detection. Ang randomization ng timing na ito ay inilalarawan bilang isang sadyang pagtatangka upang talunin ang mga depensa na pangunahing umaasa sa input tempo at keystroke cadence.

Mga Koneksyon sa Brokewell

Ipinapakita ng pagsusuri na si Herodotus ay hindi lamang isang bagong bersyon ng Brokewell, ngunit lumilitaw na mayroon itong mga ginamit na pamamaraan at mga fragment ng code (kabilang ang mga pamamaraan ng obfuscation at literal na mga sanggunian tulad ng mga marker tulad ng 'BRKWL_JAVA') mula sa Brokewell at iba pang mga pamilya — na epektibong nagtatahi ng mga kilalang bahagi sa isang bago, aktibong nabuong strain.

Heyograpikong Saklaw At Mga Target

Narekober ng mga mananaliksik ang mga overlay na page na iniakma para sa mga bangko sa US, Turkey, UK, at Poland, at para sa mga wallet at palitan ng cryptocurrency — ebidensya na pinalalawak ng mga operator ang target na heograpiya at mga vertical na lampas sa mga unang nakita sa Italy/Brazil. Ang proyekto ay aktibong ginagawa at ibinebenta sa iba pang manloloko sa pamamagitan ng mga underground na forum.

Mga Praktikal na Aksyon Upang Unahin

• Tratuhin ang mga solusyon sa pag-uugali-lamang laban sa panloloko bilang isang senyales sa isang layered na depensa: pagsamahin ang postura ng device, mga pagsusuri sa integridad (tuklasin ang pag-abuso sa accessibility at side-loaded na mga app), network telemetry, at pagmarka ng panganib sa transaksyon.
• I-detect at harangan ang side-loading at hindi awtorisadong pag-install ng package; subaybayan ang mga kahina-hinalang overlay window at paggamit ng serbisyo ng accessibility sa mga endpoint.
• Ipatupad ang malakas na multi-factor authentication (push o hardware token sa SMS kung posible), pagpapatigas ng device, at napapanahong pag-update ng OS/app.
• Magpatupad ng mga throttle ng transaksyon at pangalawang pag-verify para sa mga aksyong may mataas na peligro na maaaring abusuhin sa isang live na session.

Teknikal na Takeaway

Hindi tulad ng mga simpleng trojan sa pag-aani ng kredensyal, idinisenyo si Herodotus na manatiling aktibo sa mga live na session at upang magsagawa ng malayuan, pag-iingat ng mga session sa pagkuha ng account. Dahil dito, ang real-time na pag-detect at in‑session mitigations (halimbawa, pag-detect ng mga overlay, hindi pangkaraniwang mga pattern ng pag-input na hindi naaayon sa status ng device, o sabay-sabay na streaming ng screen) ay lalong mahalaga.