Скидка на мультилицензию
База данных угроз Вредоносное ПО для мобильных устройств Мобильное вредоносное ПО Herodotus

Мобильное вредоносное ПО Herodotus

К Mezo году в Вредоносное ПО для мобильных устройств, Банковский троян году
Перевести на:

Исследователи безопасности обнаружили новый банковский троян для Android под названием Herodotus, который используется в кампаниях по активному захвату устройств (DTO). Ранняя активность была замечена среди пользователей в Италии и Бразилии, а анализ показывает, что вредоносное ПО предлагается в формате «вредоносное ПО как услуга» (MaaS).

Поддельная хромированная пипетка, SMiShing и боковая загрузка

Операторы распространяют Herodotus через приложения-дропперы, которые выдают себя за легитимные приложения (по имеющимся данным, маскируются под Google Chrome с именами пакетов вроде com.cd3.app) и заманивают жертв с помощью SMS-фишинга и других методов социальной инженерии. После установки дроппера (часто через сторонние приложения) он извлекает и устанавливает вредоносную полезную нагрузку.

Возможности Геродота

  • Злоупотреблять службами специальных возможностей Android для управления экраном, отображения непрозрачных наложений и отображения поддельных страниц входа в банковские и криптографические приложения.
  • Перехватывайте и извлекайте экранный контент и SMS-сообщения (включая коды 2FA).
  • Предоставлять себе дополнительные разрешения, захватывать PIN-коды или графические ключи блокировки экрана, устанавливать удаленные APK-файлы и сохраняться внутри активных сеансов вместо того, чтобы просто красть статические учетные данные.
  • Регистрируйте нажатия клавиш, транслируйте экраны и выполняйте удаленные действия по вводу данных для захвата учетной записи.

«Очеловечивание» удалённого мошенничества для обхода поведенческих детекторов

Отличительной особенностью Herodotus является попытка имитировать синхронизацию времени взаимодействия с человеком. Вредоносная программа может добавлять случайные задержки между событиями автоматического ввода (зарегистрированный диапазон задержки составляет около 300–3000 миллисекунд), благодаря чему удалённый ввод текста больше похож на действия реального пользователя, чем на машинный. Это явная попытка обойти системы защиты от мошенничества и биометрического обнаружения, основанные на анализе времени или поведения. Такая рандомизация времени описывается как преднамеренная попытка обойти защиту, которая в первую очередь опирается на темп ввода и ритм нажатия клавиш.

Связи с Броквеллом

Анализ показывает, что Herodotus — это не просто новая версия Brokewell, но, по-видимому, в ней повторно использованы методы и фрагменты кода (включая методы запутывания и буквальные ссылки, такие как маркеры типа «BRKWL_JAVA») из Brokewell и других семейств, что фактически объединяет известные компоненты в новый, активно разрабатываемый штамм.

Географический охват и цели

Исследователи обнаружили страницы-накладки, адаптированные для банков США, Турции, Великобритании и Польши, а также для криптовалютных кошельков и бирж, что свидетельствует о расширении операторами целевой географии и вертикалей за пределы первоначальных случаев в Италии и Бразилии. Проект находится в стадии активной разработки и рекламируется другим мошенникам через подпольные форумы.

Практические действия по расстановке приоритетов

  • Рассматривайте решения по борьбе с мошенничеством, основанные только на поведении, как один сигнал в многоуровневой защите: объединяйте проверку состояния устройства, проверки целостности (обнаружение злоупотреблений доступом и сторонних приложений), сетевую телеметрию и оценку риска транзакций.
  • Обнаруживайте и блокируйте сторонние загрузки и несанкционированные установки пакетов; отслеживайте подозрительные наложения окон и использование служб специальных возможностей на конечных точках.
  • Обеспечьте надежную многофакторную аутентификацию (push- или аппаратные токены по SMS, где это возможно), укрепление защиты устройств и своевременные обновления ОС/приложений.
  • Реализуйте ограничения транзакций и вторичную проверку для высокорисковых действий, которые могут быть использованы не по назначению во время реального сеанса.

Технический вывод

В отличие от простых троянов, собирающих учетные данные, Herodotus способен оставаться активным во время сеансов связи и осуществлять удалённый захват учётных записей с сохранением сеанса. Поэтому обнаружение атак в режиме реального времени и меры по их нейтрализации (например, обнаружение наложений, необычных шаблонов ввода, не соответствующих состоянию устройства, или одновременной потоковой передачи данных с экрана) особенно важны.

В тренде

Мошенничество с оповещениями сервера веб-почты

Фишинг, Спам
В постоянно меняющемся ландшафте киберугроз мошенничество, замаскированное под легитимные уведомления, становится всё более изощрённым. Ярким примером является мошенничество с оповещениями через веб-почтовый сервер, которое рассылает ничего не подозревающим пользователям мошеннические письма, выдаваемые за письма от надёжных почтовых сервисов. Эти письма не связаны с легитимными компаниями,...

Наиболее просматриваемые

Загрузка...