Mobilný malvér Herodotus
Bezpečnostní výskumníci odhalili nového bankového trójskeho koňa pre Android s názvom Herodotus, ktorý sa používa v kampaniach na aktívne prevzatie zariadení (DTO). Bola pozorovaná skorá aktivita zameraná na používateľov v Taliansku a Brazílii a analýza naznačuje, že malvér je ponúkaný ako Malvér ako služba (MaaS).
Obsah
Falošný Chrome Dropper, SMiShing a bočné načítavanie
Prevádzkovatelia distribuujú Herodotus prostredníctvom aplikácií typu dropper, ktoré sa vydávajú za legitímne aplikácie (údajne sa maskujú ako Google Chrome s názvami balíkov ako com.cd3.app) a lákajú obete prostredníctvom SMS phishingu a iných vektorov sociálneho inžinierstva. Po nainštalovaní aplikácie (často prostredníctvom bočného načítavania) načíta a nainštaluje škodlivé užitočné zaťaženie.
Herodotove schopnosti
- Zneužívať služby prístupnosti systému Android na ovládanie obrazovky, zobrazovanie nepriehľadných prekryvných vrstiev a zobrazovanie falošných prihlasovacích stránok cez bankové a krypto aplikácie.
- Zachytiť a odhaliť obsah na obrazovke a SMS správy (vrátane kódov 2FA).
- Udeľuje si ďalšie povolenia, zaznamenáva PIN kódy alebo vzory uzamknutej obrazovky, inštaluje vzdialené súbory APK a pretrváva v rámci živých relácií, namiesto toho, aby len kradla statické prihlasovacie údaje.
- Zaznamenávajte stlačenia klávesov, streamujte obrazovky a vykonávajte vzdialené vstupné akcie na prevzatie kontroly nad účtom.
„Humanizácia“ vzdialených podvodov s cieľom prekonať behaviorálne detektory
Výraznou črtou Herodota je jeho pokus napodobniť načasovanie ľudskej interakcie. Malvér dokáže pridať náhodné oneskorenia medzi automatizované vstupné udalosti (uvádzaný rozsah oneskorenia ~300 – 3 000 milisekúnd), takže písanie na diaľku vyzerá skôr ako písanie skutočného používateľa a menej ako rýchlosť stroja – čo je jasná snaha obísť detekciu podvodov založenú na načasovaní alebo správaní a biometrickú detekciu. Táto randomizácia načasovania sa opisuje ako úmyselný pokus prekonať obranu, ktorá sa spolieha predovšetkým na tempo vstupu a kadenciu stlačení klávesov.
Spojenie s Brokewellom
Analýza ukazuje, že Herodotus nie je len novou verziou Brokewellu, ale zdá sa, že opätovne použil techniky a fragmenty kódu (vrátane metód zahmlievania a doslovných odkazov, ako sú značky ako „BRKWL_JAVA“) z Brokewellu a iných rodín – čím efektívne spojil známe komponenty do nového, aktívne vyvíjaného kmeňa.
Geografický rozsah a ciele
Výskumníci objavili prekrývajúce stránky prispôsobené pre banky v USA, Turecku, Spojenom kráľovstve a Poľsku a pre kryptomenové peňaženky a burzy – čo svedčí o tom, že prevádzkovatelia rozširujú cieľovú geografiu a vertikály nad rámec pôvodných pozorovaní v Taliansku/Brazílii. Projekt je aktívne vo vývoji a propaguje sa iným podvodníkom prostredníctvom podzemných fór.
Praktické kroky, ktorým treba stanoviť priority
- Riešenia proti podvodom zamerané výlučne na správanie považujte za jeden signál vo viacvrstvovej obrane: kombinujte kontroly stavu zariadenia, integrity (detekcia zneužívania prístupnosti a vedľajších aplikácií), sieťovú telemetriu a hodnotenie transakčného rizika.
- Detekujte a blokujte bočné načítavanie a neoprávnené inštalácie balíkov; monitorujte podozrivé prekrývajúce sa okná a používanie služieb prístupnosti na koncových bodoch.
- Vynucujte silné viacfaktorové overovanie (push alebo hardvérové tokeny cez SMS, kde je to možné), posilňovanie zariadení a včasné aktualizácie operačného systému/aplikácií.
- Implementujte obmedzenia transakcií a sekundárne overovanie pre vysoko rizikové akcie, ktoré by mohli byť zneužité počas živej relácie.
Technické postrehy
Na rozdiel od jednoduchých trójskych koní získavajúcich poverenia je Herodotus navrhnutý tak, aby zostal aktívny počas živých relácií a vykonával vzdialené prevzatie účtov so zachovaním relácie. Preto je detekcia v reálnom čase a zmierňovanie rizík počas relácie (napríklad detekcia prekrytí, nezvyčajných vstupných vzorov, ktoré nie sú v súlade so stavom zariadenia, alebo simultánneho streamovania obrazovky) obzvlášť dôležité.
