希羅多德行動惡意軟體

安全研究人員發現了一種名為 Herodotus 的新型安卓銀行木馬，該木馬正被用於主動設備劫持 (DTO) 攻擊活動。早期活動已發現針對義大利和巴西用戶的攻擊，分析表明該惡意軟體以惡意軟體即服務 (MaaS) 的形式提供。

假冒的 Chrome Dropper、SMishing 和側裝式

攻擊者透過偽裝成合法應用程式的投放器（據報道，這些投放器偽裝成谷歌瀏覽器，包名類似於com.cd3.app）分發Herodotus惡意軟體，並透過簡訊釣魚和其他社交工程手段誘騙受害者。一旦投放器被安裝（通常是透過側載方式），它就會取得並安裝惡意負載。

希羅多德的能力

• 濫用 Android 輔助功能服務來控制螢幕、顯示不透明的覆蓋層，並在銀行和加密貨幣應用程式上顯示虛假的登入頁面。
• 攔截並竊取螢幕內容和簡訊（包括雙重認證碼）。
• 它會授予自身額外的權限，捕獲鎖定螢幕密碼或圖案，安裝遠端 APK，並在即時會話中保持駐留狀態，而不僅僅是竊取靜態憑證。
• 記錄鍵盤輸入、傳輸螢幕、執行遠端輸入操作以進行帳戶接管。

將遠端欺詐“人性化”以繞過行為檢測器

Herodotus 的突出特點在於它試圖模仿人類互動的時機。該惡意軟體可以在自動輸入事件之間添加隨機延遲（據報道延遲範圍約為 300 至 3000 毫秒），使遠端輸入看起來更像真人操作，而非機器速度——這顯然是為了繞過基於時間或行為的反詐欺和生物識別檢測。這種時間隨機化被認為是蓄意繞過主要依賴輸入節奏和擊鍵頻率的防禦措施。

與布魯克韋爾的聯繫

分析表明，Herodotus 不僅僅是 Brokewell 的新版本，它似乎還重用了 Brokewell 和其他家族的技術和程式碼片段（包括混淆方法和字面引用，例如“BRKWL_JAVA”之類的標記）——有效地將已知組件拼接成一個新的、積極開發的版本。

地理範圍和目標

研究人員已發現針對美國、土耳其、英國和波蘭的銀行以及加密貨幣錢包和交易所定制的頁面疊加層——這表明，這些運營商正在擴大其目標地域和垂直領域，不再局限於最初的意大利/巴西。該計畫仍在積極開發中，並透過地下論壇向其他詐騙分子進行推廣。

優先考慮的實際行動

• 將僅基於行為的反詐騙解決方案視為分層防禦中的一個訊號：結合設備姿態、完整性檢查（偵測輔助功能濫用和側載應用程式）、網路遙測和交易風險評分。
• 偵測並阻止側載和未經授權的軟體包安裝；監控終端機上的可疑覆蓋視窗和輔助功能服務使用情況。
• 強制執行強大的多因素身份驗證（盡可能透過簡訊推送或硬體令牌），加強裝置安全，並及時更新作業系統/應用程式。
• 對可能在即時會話期間被濫用的高風險操作實施交易限流和二次驗證。

技術要點

與簡單的憑證竊取木馬不同，Herodotus 的設計目的是在會話期間保持活躍，並執行遠端、會話保留的帳戶接管。因此，即時偵測和會話內緩解措施（例如，偵測覆蓋層、與裝置狀態不一致的異常輸入模式或同時進行的螢幕串流傳輸）尤其重要。