Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware móvel Malware móvel Herodotus

Malware móvel Herodotus

Por Mezo em Malware móvel, Trojan Bancário
Traduzir Para:

Pesquisadores de segurança descobriram um novo trojan bancário para Android chamado Herodotus, que está sendo usado em campanhas ativas de apropriação de dispositivos (DTO). Observou-se atividade inicial visando usuários na Itália e no Brasil, e análises indicam que o malware é oferecido como Malware-as-a-Service (MaaS).

Dropper falso do Chrome, SMiShing e carregamento lateral

Os operadores distribuem o Herodotus por meio de aplicativos dropper que se fazem passar por aplicativos legítimos (supostamente se disfarçando de Google Chrome com nomes de pacote como com.cd3.app) e atraem vítimas por meio de phishing via SMS e outras estratégias de engenharia social. Uma vez instalado (geralmente por meio de instalação manual), o dropper baixa e instala o código malicioso.

Capacidades de Heródoto

  • Abusar dos serviços de acessibilidade do Android para controlar a tela, apresentar sobreposições opacas e exibir páginas de login falsas sobre aplicativos bancários e de criptomoedas.
  • Interceptar e extrair conteúdo da tela e mensagens SMS (incluindo códigos de autenticação de dois fatores).
  • Conceder a si mesmo permissões extras, capturar PINs ou padrões de bloqueio de tela, instalar APKs remotos e persistir em sessões ativas em vez de apenas roubar credenciais estáticas.
  • Registre as teclas digitadas, transmita telas e execute ações de entrada remota para assumir o controle da conta.

'Humanizando' a fraude remota para burlar detectores comportamentais

A principal característica do Herodotus é sua tentativa de imitar o ritmo da interação humana. O malware pode adicionar atrasos aleatórios entre eventos de entrada automatizados (com um intervalo de atraso relatado de aproximadamente 300 a 3.000 milissegundos), fazendo com que a digitação remota pareça mais com a de um usuário real e menos com a velocidade de uma máquina — um esforço claro para burlar sistemas antifraude baseados em tempo ou comportamento e detecção biométrica. Essa aleatorização do tempo está sendo descrita como uma tentativa deliberada de derrotar defesas que dependem principalmente do ritmo de entrada e da cadência de digitação.

Conexões com Brokewell

A análise mostra que Herodotus não é simplesmente uma nova versão de Brokewell, mas parece ter reutilizado técnicas e fragmentos de código (incluindo métodos de ofuscação e referências literais, como marcadores como 'BRKWL_JAVA') de Brokewell e outras famílias — efetivamente unindo componentes conhecidos em uma nova variante em desenvolvimento ativo.

Âmbito geográfico e alvos

Pesquisadores recuperaram páginas sobrepostas personalizadas para bancos nos EUA, Turquia, Reino Unido e Polônia, além de carteiras e corretoras de criptomoedas — evidência de que os operadores estão ampliando sua abrangência geográfica e seus segmentos de mercado, para além dos locais inicialmente identificados na Itália e no Brasil. O projeto está em desenvolvimento ativo e sendo comercializado para outros fraudadores por meio de fóruns clandestinos.

Ações práticas a priorizar

  • Considere as soluções antifraude baseadas exclusivamente em comportamento como um sinal em uma defesa em camadas: combine a postura do dispositivo, verificações de integridade (detecte abusos de acessibilidade e aplicativos instalados por fora da documentação), telemetria de rede e pontuação de risco de transação.
  • Detectar e bloquear a instalação de pacotes por fora da página de instalação e instalações não autorizadas; monitorar janelas sobrepostas suspeitas e o uso de serviços de acessibilidade nos endpoints.
  • Implemente autenticação multifatorial robusta (envio de notificações push ou tokens de hardware via SMS, quando possível), reforço da segurança dos dispositivos e atualizações oportunas do sistema operacional e dos aplicativos.
  • Implementar restrições de transação e verificação secundária para ações de alto risco que possam ser exploradas durante uma sessão ativa.

Resumo técnico

Ao contrário de trojans simples de coleta de credenciais, o Herodotus foi projetado para permanecer ativo durante sessões em andamento e para realizar apropriações remotas de contas, preservando a sessão. Isso torna a detecção em tempo real e as medidas de mitigação durante a sessão (por exemplo, detecção de sobreposições, padrões de entrada incomuns que sejam inconsistentes com o estado do dispositivo ou streaming simultâneo da tela) especialmente importantes.

Tendendo

Mais visto

Carregando...