תוכנה זדונית למובייל של הרודוטוס
חוקרי אבטחה חשפו טרויאן בנקאי חדש לאנדרואיד בשם הרודוטוס, המשמש בקמפיינים של השתלטות על מכשירים (DTO). פעילות מוקדמת נצפתה כמכוונת למשתמשים באיטליה ובברזיל, וניתוח מצביע על כך שהתוכנה הזדונית מוצעת כשירות זדונית (MaaS).
תוכן העניינים
טפטפת כרום מזויפת, SMiShing וטעינה צדדית
מפעילי האפליקציה מפיצים את הרודוטוס באמצעות אפליקציות "dropper" המתחזות לאפליקציות לגיטימיות (לפי הדיווחים, המתחזות לגוגל כרום עם שמות חבילות כמו com.cd3.app) ומפתות קורבנות באמצעות פישינג ב-SMS ווקטורים אחרים של הנדסה חברתית. לאחר התקנת ה-dropper (לעתים קרובות באמצעות טעינה צדדית), הוא מאחזר ומתקין את המטען הזדוני.
יכולותיו של הרודוטוס
- ניצול לרעה של שירותי הנגישות של אנדרואיד כדי לשלוט במסך, להציג שכבות-על אטומות ולהציג דפי כניסה מזויפים באפליקציות בנקאיות וקריפטו.
- ליירט ולגנוב תוכן והודעות SMS שעל המסך (כולל קודי 2FA).
- להעניק לעצמו הרשאות נוספות, ללכוד קוד PIN או דפוסי נעילה, להתקין קבצי APK מרוחקים ולהישאר בתוך סשנים חיים במקום רק לגנוב אישורים סטטיים.
- רישום הקשות מקלדת, הזרמת מסכים ובצע פעולות קלט מרחוק כדי לבצע השתלטות על חשבון.
“הפיכת הונאה מרחוק לאנושית” כדי להתגבר על גלאי התנהגות
המאפיין הבולט של הרודוטוס הוא ניסיונו לחקות את תזמון האינטראקציה האנושית. הנוזקה יכולה להוסיף עיכובים אקראיים בין אירועי קלט אוטומטיים (טווח עיכובים מדווח של ~300-3,000 מילישניות) כך שהקלדה מרחוק נראית יותר כמו משתמש אמיתי ופחות כמו מהירות מכונה - מאמץ ברור לעקוף זיהוי ביומטרי ואנטי-הונאה מבוססי תזמון או התנהגות. אקראי תזמון זה מתואר כניסיון מכוון להביס הגנות המסתמכות בעיקר על קצב קלט וקצב הקשות מקשים.
קשרים לברוקוול
ניתוח מראה שהרודוטוס אינו רק גרסה חדשה של ברוקוול, אלא נראה שהוא השתמש מחדש בטכניקות ובקטעי קוד (כולל שיטות ערפול והפניות מילוליות כגון סמנים כמו 'BRKWL_JAVA') מברוקוול ומשפחות אחרות - ובכך חיבר ביעילות רכיבים ידועים לזן חדש שפותח באופן פעיל.
היקף גיאוגרפי ומטרות
חוקרים איתרו דפי שכבה שהותאמו לבנקים בארה"ב, טורקיה, בריטניה ופולין, וכן עבור ארנקים ובורסות של מטבעות קריפטוגרפיים - עדות לכך שהמפעילים מרחיבים את הגיאוגרפיה והתחומים האנכיים שלהם מעבר לתצפיות הראשוניות באיטליה/ברזיל. הפרויקט נמצא בפיתוח פעיל ומשווק לגורמי הונאה אחרים באמצעות פורומים מחתרתיים.
פעולות מעשיות לתעדוף
- התייחסו לפתרונות נגד הונאות המבוססים על התנהגות בלבד כאל אות אחד בהגנה מרובדת: שלבו את יציבות המכשיר, בדיקות שלמות (זיהוי ניצול לרעה של נגישות ואפליקציות שנטענות בצד), טלמטריית רשת וניקוד סיכוני עסקאות.
- זיהוי וחסימה של טעינה צדדית והתקנות חבילות לא מורשות; ניטור חלונות שכבת-על חשודים ושימוש בשירותי נגישות בנקודות קצה.
- אכיפת אימות רב-גורמי חזק (דחיפה או אסימוני חומרה דרך SMS במידת האפשר), הקשחת מכשירים ועדכוני מערכת הפעלה/אפליקציות בזמן.
- הטמע הגבלות עסקאות ואימות משני עבור פעולות בסיכון גבוה שעלולות להיות מנוצלות לרעה במהלך סשן חי.
מסקנה טכנית
בניגוד לטרויאנים פשוטים לאיסוף אישורים, הרודוטוס נועד להישאר פעיל במהלך סשנים חיים ולבצע השתלטויות חשבונות מרחוק, תוך שימור סשנים. זה הופך את הזיהוי בזמן אמת והפחתות במהלך סשנים (לדוגמה, זיהוי שכבות, דפוסי קלט חריגים שאינם תואמים למצב המכשיר או סטרימינג בו זמנית של המסך) לחשובים במיוחד.
