Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Malware mobil Programe malware mobile Herodot

Programe malware mobile Herodot

Până în Mezo în Malware mobil, Troian bancar
Tradu in:

Cercetătorii în domeniul securității au descoperit un nou troian bancar pentru Android, numit Herodotus, care este utilizat în campanii active de preluare a dispozitivelor (DTO). Activitatea timpurie a fost observată vizând utilizatori din Italia și Brazilia, iar analiza indică faptul că malware-ul este oferit ca Malware-as-a-Service (MaaS).

Dropper cromat fals, SMiShing și încărcare laterală

Operatorii distribuie Herodotus prin intermediul aplicațiilor dropper care se dau drept aplicații legitime (se pare că se deghizează în Google Chrome cu nume de pachete precum com.cd3.app) și atrag victimele prin phishing prin SMS și alți vectori de inginerie socială. Odată ce dropper-ul este instalat (adesea prin încărcare laterală), acesta preia și instalează sarcina utilă malițioasă.

Capacitățile lui Herodot

  • Abuzați de serviciile de accesibilitate Android pentru a controla ecranul, a prezenta suprapuneri opace și a afișa pagini de conectare false în aplicațiile bancare și criptomonede.
  • Interceptați și extrageți conținutul de pe ecran și mesajele SMS (inclusiv coduri 2FA).
  • Își acordă permisiuni suplimentare, captează PIN-uri sau modele de pe ecranul de blocare, instalează APK-uri la distanță și persistă în sesiunile live, în loc să fure doar acreditări statice.
  • Înregistrați apăsările de taste, redați ecranele în flux continuu și efectuați acțiuni de introducere a datelor de la distanță pentru a prelua controlul contului.

„Umanizarea” fraudei la distanță pentru a depăși detectoarele comportamentale

Caracteristica remarcabilă a programului Herodotus este încercarea sa de a imita sincronizarea interacțiunii umane. Malware-ul poate adăuga întârzieri aleatorii între evenimentele de introducere automată a datelor (interval de întârziere raportat ~300–3.000 de milisecunde), astfel încât tastarea de la distanță să semene mai mult cu un utilizator real și mai puțin cu viteza unei mașini - un efort clar de a ocoli sistemele antifraudă și detectarea biometrică bazate pe sincronizare sau comportament. Această randomizare a temporizării este descrisă ca o încercare deliberată de a învinge apărările care se bazează în principal pe tempo-ul de introducere și cadența apăsărilor de taste.

Conexiuni către Brokewell

Analizele arată că Herodot nu este pur și simplu o nouă versiune a lui Brokewell, ci se pare că a reutilizat tehnici și fragmente de cod (inclusiv metode de ofuscare și referințe literale, cum ar fi markeri precum „BRKWL_JAVA”) din Brokewell și alte familii — combinând efectiv componente cunoscute într-o nouă tulpină, dezvoltată activ.

Domeniu geografic de aplicare și ținte

Cercetătorii au recuperat pagini suprapuse adaptate pentru bănci din SUA, Turcia, Marea Britanie și Polonia, precum și pentru portofele și burse de criptomonede - dovezi că operatorii își extind geografia și verticalele țintă dincolo de observările inițiale din Italia/Brazilia. Proiectul este în curs de dezvoltare activă și comercializat către alți actori fraudulosi prin intermediul forumurilor clandestine.

Acțiuni practice de prioritizat

  • Tratați soluțiile antifraudă bazate exclusiv pe comportament ca pe un singur semnal într-o apărare stratificată: combinați starea dispozitivului, verificările de integritate (detectarea abuzurilor de accesibilitate și a aplicațiilor încărcate lateral), telemetria rețelei și scorarea riscului tranzacțional.
  • Detectează și blochează încărcarea laterală și instalările neautorizate de pachete; monitorizează ferestrele suprapuse suspecte și utilizarea serviciilor de accesibilitate pe endpoint-uri.
  • Aplicați o autentificare multi-factor puternică (push sau token-uri hardware prin SMS, acolo unde este posibil), consolidarea securității dispozitivelor și actualizări la timp ale sistemului de operare/aplicațiilor.
  • Implementați limite de tranzacție și verificare secundară pentru acțiuni cu risc ridicat care ar putea fi abuzate în timpul unei sesiuni live.

Concluzie tehnică

Spre deosebire de troienii simpli de recoltare a acreditărilor, Herodotus este conceput să rămână activ în timpul sesiunilor live și să efectueze preluări de conturi la distanță, cu păstrarea sesiunii. Acest lucru face ca detectarea în timp real și atenuările în timpul sesiunii (de exemplu, detectarea suprapunerilor, a modelelor de introducere neobișnuite care sunt inconsistente cu starea dispozitivului sau a redării simultane a ecranului) să fie deosebit de importante.

Trending

Cele mai văzute

Se încarcă...