Mobilní malware od Herodotus

Bezpečnostní experti odhalili nového bankovního trojského koně pro Android s názvem Herodotus, který je používán v kampaních aktivního převzetí zařízení (DTO). Byla pozorována první aktivita zaměřená na uživatele v Itálii a Brazílii a analýza naznačuje, že malware je nabízen jako Malware jako služba (MaaS).

Falešný Chrome Dropper, SMiShing a boční načítání

Provozovatelé distribuují Herodotus prostřednictvím aplikací typu dropper, které se vydávají za legitimní aplikace (údajně se maskují jako Google Chrome s názvy balíčků jako com.cd3.app) a lákají oběti pomocí SMS phishingu a dalších vektorů sociálního inženýrství. Jakmile je dropper nainstalován (často prostřednictvím sideloadingu), stáhne a nainstaluje škodlivý obsah.

Schopnosti Herodota

• Zneužívat služby usnadnění přístupu v systému Android k ovládání obrazovky, zobrazování neprůhledných překryvných vrstev a falešných přihlašovacích stránek přes bankovní a kryptoměnové aplikace.
• Zachycovat a odebírat obsah na obrazovce a SMS zprávy (včetně kódů 2FA).
• Udělit si další oprávnění, zachytit PINy nebo vzory pro zamykání obrazovky, instalovat vzdálené APK a přetrvávat v rámci aktivních relací, místo aby jen kradl statické přihlašovací údaje.
• Zaznamenávejte stisknuté klávesy, streamujte obrazovky a provádějte vzdálené vstupní akce pro převzetí kontroly nad účtem.

„Humanizace“ vzdálených podvodů k překonání behaviorálních detektorů

Herodotova výjimečná vlastnost je pokus napodobit načasování lidské interakce. Malware dokáže mezi automatizované vstupní události přidávat náhodná zpoždění (uváděný rozsah zpoždění ~300–3 000 milisekund), takže psaní na dálku vypadá spíše jako skutečný uživatel a méně jako rychlost stroje – jde o jasný pokus obejít detekci podvodů a biometrické detekce založené na načasování nebo chování. Toto načasování je popisováno jako úmyslný pokus o překonání obranných mechanismů, které se spoléhají primárně na tempo vstupu a kadenci stisknutí kláves.

Spojení s Brokewellem

Analýza ukazuje, že Herodotus není jen novou verzí Brokewellu, ale zdá se, že znovu použil techniky a fragmenty kódu (včetně metod zmatkování a doslovných odkazů, jako jsou značky jako 'BRKWL_JAVA') z Brokewellu a dalších rodin – efektivně tak spojil známé komponenty do nového, aktivně vyvíjeného kmene.

Geografický rozsah a cíle

Výzkumníci objevili překryvné stránky přizpůsobené pro banky v USA, Turecku, Velké Británii a Polsku a pro kryptoměnové peněženky a burzy – což svědčí o tom, že provozovatelé rozšiřují cílovou geografii a vertikály nad rámec původních pozorování v Itálii/Brazílii. Projekt je aktivně vyvíjen a propagován dalším podvodníkům prostřednictvím podzemních fór.

Praktické kroky k upřednostnění

• Řešení proti podvodům zaměřující se pouze na chování uživatelů považujte za jeden signál ve vrstvené obraně: kombinujte kontroly stavu zařízení, integrity (detekce zneužití přístupnosti a aplikací načítaných z jiných zdrojů), síťovou telemetrii a hodnocení transakčních rizik.
• Detekujte a blokujte boční načítání a neoprávněné instalace balíčků; monitorujte podezřelá překryvná okna a používání služeb usnadnění přístupu na koncových bodech.
• Vynucujte silné vícefaktorové ověřování (push nebo hardwarové tokeny přes SMS, kde je to možné), zabezpečení zařízení a včasné aktualizace operačního systému/aplikací.
• Implementujte omezení transakcí a sekundární ověřování pro vysoce rizikové akce, které by mohly být zneužity během živé relace.

Technické shrnutí

Na rozdíl od jednoduchých trojských koní, které získávají přihlašovací údaje, je Herodotus navržen tak, aby zůstal aktivní během živých relací a prováděl vzdálené převzetí účtů se zachováním relace. Proto je detekce v reálném čase a zmírňování rizik během relace (například detekce překryvů, neobvyklých vstupních vzorů, které nejsou v souladu se stavem zařízení, nebo simultánního streamování obrazovky) obzvláště důležité.