Herodotova mobilna zlonamerna programska oprema

Varnostni raziskovalci so odkrili novega trojanca za Android z imenom Herodotus, ki se uporablja v kampanjah aktivnega prevzema naprav (DTO). Opažena je bila zgodnja aktivnost, usmerjena na uporabnike v Italiji in Braziliji, analiza pa kaže, da se zlonamerna programska oprema ponuja kot storitev (MaaS).

Lažna kapalka Chrome, SMiShing in stransko nalaganje

Operaterji distribuirajo Herodota prek aplikacij, ki se izdajajo za legitimne aplikacije (domnevno se maskirajo kot Google Chrome z imeni paketov, kot je com.cd3.app) in privabljajo žrtve z lažnim predstavljanjem prek SMS-ov in drugimi vektorji socialnega inženiringa. Ko je aplikacija nameščena (pogosto s stranskim nalaganjem), pridobi in namesti zlonamerno vsebino.

Herodotove sposobnosti

• Zloraba storitev dostopnosti Android za nadzor zaslona, prikazovanje neprozornih prekrivnih elementov in prikazovanje lažnih prijavnih strani prek bančnih in kripto aplikacij.
• Prestrezite in izvlecite vsebino na zaslonu in SMS sporočila (vključno s kodami za dvofaktorsko avtentikacijo).
• Dodeli si dodatna dovoljenja, zajame PIN-e ali vzorce za zaklenjen zaslon, namesti oddaljene APK-je in vztraja znotraj sej v živo, namesto da bi le kradel statične poverilnice.
• Beležite pritiske tipk, pretakajte zaslone in izvajajte oddaljena vnosna dejanja za prevzem računa.

“Humanizacija” oddaljenih goljufij za premagovanje vedenjskih detektorjev

Herodotova izstopajoča značilnost je poskus posnemanja časa človeške interakcije. Zlonamerna programska oprema lahko doda naključne zakasnitve med avtomatiziranimi dogodki vnosa (poročani razpon zakasnitve ~300–3000 milisekund), tako da je tipkanje na daljavo bolj podobno resničnemu uporabniku in manj hitrosti stroja – očiten poskus zaobiti časovno ali vedenjsko usmerjeno preprečevanje goljufij in biometrično zaznavanje. Ta časovna naključnost je opisana kot nameren poskus premaganja obrambnih mehanizmov, ki se zanašajo predvsem na tempo vnosa in kadenco pritiskov tipk.

Povezave z Brokewellom

Analiza kaže, da Herodot ni zgolj nova različica Brokewella, ampak se zdi, da je ponovno uporabil tehnike in fragmente kode (vključno z metodami zakrivanja in dobesednimi sklici, kot so označevalci, kot je 'BRKWL_JAVA') iz Brokewella in drugih družin – s čimer je učinkovito združil znane komponente v nov, aktivno razvit sev.

Geografski obseg in cilji

Raziskovalci so odkrili prekrivne strani, prilagojene bankam v ZDA, Turčiji, Združenem kraljestvu in na Poljskem ter denarnicam in borzam kriptovalut – kar dokazuje, da operaterji širijo ciljno geografijo in vertikale onkraj začetnih opažanj v Italiji/Braziliji. Projekt je aktivno v razvoju in se trži drugim akterjem goljufij prek podzemnih forumov.

Praktični ukrepi za prednostno obravnavo

• Rešitve za preprečevanje goljufij, ki temeljijo izključno na vedenju, obravnavajte kot en signal v večplastni obrambi: združite pregled stanja naprave, preverjanja integritete (zaznavanje zlorabe dostopnosti in stransko naloženih aplikacij), omrežno telemetrijo in ocenjevanje tveganja transakcij.
• Zaznavanje in blokiranje stranskega nalaganja in nepooblaščenih namestitev paketov; spremljanje sumljivih prekrivnih oken in uporabe storitev dostopnosti na končnih točkah.
• Uveljavite močno večfaktorsko preverjanje pristnosti (potisna sporočila ali strojne žetone prek SMS-a, kjer je to mogoče), utrjevanje naprav in pravočasne posodobitve operacijskega sistema/aplikacij.
• Uvedite omejitve transakcij in sekundarno preverjanje za dejanja z visokim tveganjem, ki bi jih lahko zlorabili med sejo v živo.

Tehnični pregled

Za razliko od preprostih trojanskih konjev za pridobivanje poverilnic je Herodotus zasnovan tako, da ostane aktiven med sejami v živo in izvaja oddaljene prevzeme računov, ki ohranjajo sejo. Zato je zaznavanje v realnem času in ukrepi za ublažitev med sejo (na primer zaznavanje prekrivnih slojev, nenavadnih vzorcev vnosa, ki niso skladni s stanjem naprave, ali sočasnega pretakanja zaslona) še posebej pomembno.