Herodotuse mobiilne pahavara
Turvauurijad on avastanud uue Androidi panganduse trooja nimega Herodotus, mida kasutatakse aktiivsetes seadmete ülevõtmise (DTO) kampaaniates. Esialgne tegevus on täheldatud Itaalia ja Brasiilia kasutajate sihtimisel ning analüüs näitab, et pahavara pakutakse teenusena (MaaS).
Sisukord
Võltskroomitud tilguti, SMiShing ja külglaadimine
Operaatorid levitavad Herodotust dropper-rakenduste kaudu, mis jäljendavad legitiimseid rakendusi (väidetavalt maskeeruvad Google Chrome'iks paketinimedega nagu com.cd3.app) ja meelitavad ohvreid SMS-õngitsuskõnede ja muude sotsiaalse manipuleerimise vahenditega. Kui dropper on installitud (sageli külglaadimise teel), hangib ja installib see pahatahtliku sisu.
Herodotose võimed
- Kuritarvitab Androidi ligipääsetavuse teenuseid ekraani juhtimiseks, läbipaistmatute kihtide kuvamiseks ja võltsitud sisselogimislehtede kuvamiseks pangandus- ja krüptorakendustes.
- Pealtkuulamine ja ekraanil kuvatava sisu ja SMS-sõnumite (sh 2FA-koodide) väljavõtmine.
- Andke endale lisalubasid, jäädvustage lukustuskuva PIN-koode või mustreid, installige kaug-APK-sid ja püsige reaalajas seanssides, selle asemel et lihtsalt staatilisi volitusi varastada.
- Konto ülevõtmiseks logige klahvivajutusi, voogesitage ekraanipilte ja tehke kaugsisestustoiminguid.
Käitumuslike detektorite ületamiseks kaugpettuste “inimlikustamine”
Herodotose silmapaistev omadus on katse jäljendada inimese interaktsiooni ajastust. Pahavara suudab automaatsete sisestussündmuste vahele lisada juhuslikke viivitusi (teatatud viivitusvahemik ~300–3000 millisekundit), nii et kaugkirjutamine näeb välja pigem päris kasutaja moodi ja vähem masina kiiruse moodi – see on selge katse mööda hiilida ajastus- või käitumispõhisest pettusevastasest ja biomeetrilisest tuvastamisest. Seda ajastuse juhuslikku muutmist kirjeldatakse kui tahtlikku katset rikkuda kaitsemehhanisme, mis tuginevad peamiselt sisestustempole ja klahvivajutuste rütmile.
Ühendused Brokewelliga
Analüüs näitab, et Herodotus ei ole lihtsalt Brokewelli uus versioon, vaid näib olevat taaskasutanud Brokewelli ja teiste perekondade tehnikaid ja koodifragmente (sealhulgas hägustamismeetodeid ja sõnasõnalisi viiteid, näiteks markereid nagu 'BRKWL_JAVA') – õmmeldes tuntud komponendid uude, aktiivselt arendatavasse tüvesse.
Geograafiline ulatus ja sihtmärgid
Teadlased on leidnud USA, Türgi, Ühendkuningriigi ja Poola pankade ning krüptovaluuta rahakottide ja vahetuste jaoks kohandatud pealiskaudseid lehti – see näitab, et operaatorid laiendavad sihtmärgiks oleva geograafia ja vertikaalid lisaks esialgsetele Itaalia/Brasiilia vaatlustele. Projekti arendatakse aktiivselt ja turustatakse teistele petturitele põrandaaluste foorumite kaudu.
Praktilised tegevused prioriseerimiseks
- Käsitle käitumispõhiseid pettusevastaseid lahendusi ühe signaalina kihilises kaitses: ühenda seadme seisundi kontroll, terviklikkuse kontrollid (tuvasta ligipääsetavuse kuritarvitamine ja külglaaditud rakendused), võrgu telemeetria ja tehingute riski hindamine.
- Tuvastab ja blokeerib külglaadimise ja volitamata pakettide installimise; jälgib kahtlaseid pealisaknaid ja ligipääsetavuse teenuste kasutamist lõpp-punktides.
- Rakenda tugevat mitmefaktorilist autentimist (võimalusel SMS-i kaudu push- või riistvaratokenid), seadmete turvalisust ja õigeaegseid operatsioonisüsteemi/rakenduste värskendusi.
- Rakendage tehingupiiranguid ja teisest kontrollimist kõrge riskiga toimingute jaoks, mida võidakse reaalajas seansi ajal kuritarvitada.
Tehniline kokkuvõte
Erinevalt lihtsatest mandaatide kogumise troojalastest on Herodotus loodud nii, et see jääb aktiivseks reaalajas seansside ajal ja teostab seanssi säilitavaid kontode ülevõtmisi kaugjuhtimise teel. See muudab reaalajas tuvastamise ja seansisisesed leevendusmeetmed (näiteks ülekatte, seadme olekuga vastuolus olevate ebatavaliste sisestusmustrite või samaaegse ekraani voogesituse tuvastamine) eriti oluliseks.
