Знижка на кілька ліцензій
База даних загроз Мобільні шкідливі програми Мобільне шкідливе програмне забезпечення Herodotus

Мобільне шкідливе програмне забезпечення Herodotus

До Mezo року в Мобільні шкідливі програми, Банківський троян році
Перекласти на:

Дослідники безпеки виявили новий банківський троян для Android під назвою Herodotus, який використовується в кампаніях активного захоплення пристроїв (DTO). Попередня активність спостерігалася, спрямована на користувачів в Італії та Бразилії, а аналіз показує, що шкідливе програмне забезпечення пропонується як Malware-as-a-Service (MaaS).

Фальшивий Chrome Dropper, SMiShing та бічне завантаження

Оператори розповсюджують Herodotus через програми-дроппери, які видають себе за легітимні програми (за повідомленнями, маскуються під Google Chrome з такими назвами пакетів, як com.cd3.app) та заманюють жертв за допомогою SMS-фішингу та інших векторів соціальної інженерії. Після встановлення програми-дроппера (часто шляхом завантаження з іншого боку) вона отримує та встановлює шкідливе корисне навантаження.

Здібності Геродота

  • Зловживати сервісами спеціальних можливостей Android для керування екраном, відображення непрозорих накладок та фальшивих сторінок входу поверх банківських та крипто-додатків.
  • Перехоплювати та видобувати вміст екрану й SMS-повідомлення (включно з кодами 2FA).
  • Надавати собі додаткові дозволи, захоплювати PIN-коди або графічні ключі блокування екрана, встановлювати віддалені APK-файли та зберігати дані в активних сеансах, а не просто красти статичні облікові дані.
  • Реєструйте натискання клавіш, транслюйте екрани та виконуйте дії віддаленого введення для здійснення контролю над обліковим записом.

«Гуманізація» віддаленого шахрайства для обходу поведінкових детекторів

Видатною особливістю Herodotus є спроба імітувати час взаємодії з людиною. Шкідливе програмне забезпечення може додавати рандомізовані затримки між подіями автоматичного введення (за повідомленнями, діапазон затримки становить ~300–3000 мілісекунд), тому віддалене введення тексту виглядає більше як введення реального користувача, а не як швидкість машини — явна спроба обійти систему захисту від шахрайства на основі часу або поведінки та біометричне виявлення. Таку рандомізацію часу описують як навмисну спробу подолати захисні механізми, які покладаються переважно на темп введення та частоту натискань клавіш.

Зв'язки з Броквеллом

Аналіз показує, що Геродот — це не просто нова версія Brokewell, але, схоже, він повторно використав методи та фрагменти коду (включаючи методи обфускації та буквальні посилання, такі як маркери, такі як «BRKWL_JAVA») з Brokewell та інших сімейств, ефективно об'єднавши відомі компоненти в новий, активно розроблюваний штам.

Географічний охоплення та цілі

Дослідники виявили оверлеї, спеціально розроблені для банків у США, Туреччині, Великій Британії та Польщі, а також для криптовалютних гаманців та бірж, що свідчить про те, що оператори розширюють цільову географію та вертикалі за межі початкових спостережень в Італії/Бразилії. Проєкт активно розробляється та просувається серед інших шахрайських учасників через підпільні форуми.

Практичні дії для визначення пріоритетів

  • Розглядайте рішення для боротьби з шахрайством, що базуються лише на поведінці, як один сигнал у багаторівневому захисті: поєднуйте перевірку стану пристрою, перевірки цілісності (виявлення зловживань доступністю та завантажених сторонніх програм), мережеву телеметрію та оцінку ризику транзакцій.
  • Виявляти та блокувати завантаження збоку та несанкціоноване встановлення пакетів; відстежувати підозрілі вікна накладання та використання служб доступності на кінцевих точках.
  • Забезпечте надійну багатофакторну автентифікацію (push-повідомлення або апаратні токени через SMS, де це можливо), захист пристроїв та своєчасне оновлення ОС/додатків.
  • Впроваджуйте обмеження транзакцій та вторинну верифікацію для дій з високим ризиком, якими можна зловживати під час живого сеансу.

Технічний висновок

На відміну від простих троянів, що збирають облікові дані, Herodotus розроблений для того, щоб залишатися активним під час активних сеансів та здійснювати віддалене захоплення облікових записів зі збереженням сеансу. Це робить виявлення в режимі реального часу та заходи щодо зменшення ризиків під час сеансу (наприклад, виявлення накладень, незвичайних шаблонів введення, що не відповідають стану пристрою, або одночасної потокової передачі екрана) особливо важливими.

В тренді

Шахрайство зі сповіщеннями веб-поштового сервера

Фішинг, Спам
У постійно мінливому ландшафті кіберзагроз шахрайство, замасковане під легітимні сповіщення, стає дедалі витонченішим. Шахрайство з оповіщеннями веб-поштового сервера є яскравим прикладом, яке спрямоване на нічого не підозрюючих користувачів за допомогою шахрайських електронних листів, що виглядають як листи від авторитетних веб-поштових сервісів. Ці електронні листи не пов’язані з жодними...

Найбільше переглянуті

Шкідливе програмне забезпечення

Фішинг, Спам
33,141
Шахрайське повідомлення «Apple Pay Suspended» — це різновид фішингової тактики, спрямованої на користувачів Apple Pay. У повідомленні стверджується, що гаманець Apple Pay користувача призупинено, і закликається натиснути посилання, щоб відновити його. Однак, натиснувши посилання, користувач перейде на підроблений веб-сайт, призначений для викрадення його особистої та фінансової інформації. Якщо...

Fuq.com

Програма захисту від шпигунського ПЗ, Шкідливе програмне забезпечення Mac
23,273
Fuq.com — це програма рекламного типу, яка рекламує веб-сайти з порнографічним вмістом. Рекламні кампанії цієї потенційно небажаної програми (PUP) є дуже агресивними. Вони змушують своїх жертв...
Завантаження...