Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Malware celular Malware Herodotus Mobile

Malware Herodotus Mobile

Nga MezoMalware celular, Trojan bankar
Përkthe në:

Studiuesit e sigurisë kanë zbuluar një trojan të ri bankar në Android të quajtur Herodotus, i cili po përdoret në fushatat aktive të marrjes së pajisjeve (DTO). Është vërejtur aktivitet i hershëm që synon përdoruesit në Itali dhe Brazil, dhe analizat tregojnë se malware ofrohet si Malware-as-a-Service (MaaS).

Dropper i rremë i kromit, SMiShing dhe ngarkim anësor

Operatorët shpërndajnë Herodotus nëpërmjet aplikacioneve dropper që imitojnë aplikacione legjitime (thuhet se maskohen si Google Chrome me emra paketash si com.cd3.app) dhe joshin viktimat nëpërmjet SMS phishing dhe vektorëve të tjerë të inxhinierisë sociale. Pasi dropper instalohet (shpesh nëpërmjet ngarkimit anësor), ai merr dhe instalon ngarkesën keqdashëse.

Aftësitë e Herodotit

  • Abuzoni shërbimet e Aksesueshmërisë në Android për të kontrolluar ekranin, për të paraqitur mbivendosje të errëta dhe për të shfaqur faqe të rreme hyrjeje mbi aplikacionet bankare dhe të kriptomonedhave.
  • Ndërhyni dhe nxirrni përmbajtjen në ekran dhe mesazhet SMS (duke përfshirë kodet 2FA).
  • Jepni vetes leje shtesë, kapni PIN-et ose modelet e bllokimit të ekranit, instaloni APK-të në distancë dhe vazhdoni brenda seancave të drejtpërdrejta në vend që të vidhni vetëm kredencialet statike.
  • Regjistro shtypjet e tasteve, transmeto ekranet dhe kryej veprime të hyrjes në distancë për të kryer marrjen e llogarisë.

'Humanizimi' i mashtrimit në distancë për të mposhtur detektorët e sjelljes

Karakteristika dalluese e Herodotus është përpjekja e tij për të imituar kohën e ndërveprimit njerëzor. Malware mund të shtojë vonesa të rastësishme midis ngjarjeve të automatizuara të hyrjes (diapazoni i vonesës së raportuar ~300–3,000 milisekonda) kështu që shkrimi në distancë duket më shumë si një përdorues i vërtetë dhe më pak si shpejtësia e makinës - një përpjekje e qartë për të anashkaluar zbulimin biometrik dhe anti-mashtrimin bazuar në kohën ose sjelljen. Ky rastësim i kohës po përshkruhet si një përpjekje e qëllimshme për të mposhtur mbrojtjet që mbështeten kryesisht në ritmin e hyrjes dhe kadencën e shtypjes së tastit.

Lidhje me Brokewell

Analiza tregon se Herodoti nuk është thjesht një version i ri i Brokewell, por duket se ka ripërdorur teknika dhe fragmente kodi (duke përfshirë metodat e errësimit dhe referencat literale si shënjues si 'BRKWL_JAVA') nga Brokewell dhe familje të tjera — duke bashkuar në mënyrë efektive komponentë të njohur në një lloj të ri, të zhvilluar në mënyrë aktive.

Shtrirja Gjeografike dhe Synimet

Studiuesit kanë rikuperuar faqe mbivendosjeje të përshtatura për bankat në SHBA, Turqi, Mbretërinë e Bashkuar dhe Poloni, si dhe për portofolet dhe bursat e kriptomonedhave - dëshmi se operatorët po zgjerojnë gjeografinë e synuar dhe vertikalet përtej vëzhgimeve fillestare në Itali/Brazil. Projekti është në zhvillim e sipër dhe u tregtohet aktorëve të tjerë mashtrues nëpërmjet forumeve të fshehta.

Veprime praktike për të përcaktuar përparësitë

  • Trajtojini zgjidhjet kundër mashtrimit që bazohen vetëm në sjellje si një sinjal të vetëm në një mbrojtje të shtresuar: kombinoni qëndrimin e pajisjes, kontrollet e integritetit (zbuloni abuzimin me aksesueshmërinë dhe aplikacionet e ngarkuara anash), telemetrinë e rrjetit dhe vlerësimin e rrezikut të transaksionit.
  • Zbuloni dhe bllokoni ngarkimin anësor dhe instalimet e paautorizuara të paketave; monitoroni për dritare të dyshimta mbivendosjeje dhe përdorimin e shërbimit të aksesueshmërisë në pikat fundore.
  • Zbatoni autentifikim të fortë shumëfaktorësh (tokena shtytës ose harduerikë përmes SMS-ve kur është e mundur), forcimin e pajisjeve dhe përditësimet në kohë të sistemit operativ/aplikacionit.
  • Implementoni kufizime të transaksioneve dhe verifikim dytësor për veprimet me rrezik të lartë që mund të abuzohen gjatë një seance të drejtpërdrejtë.

Përmbledhje teknike

Ndryshe nga trojanët e thjeshtë që mbledhin kredenciale, Herodotus është projektuar të mbetet aktiv gjatë seancave të drejtpërdrejta dhe të kryejë marrje të llogarive në distancë, duke ruajtur seancën. Kjo e bën zbulimin në kohë reale dhe zbutjet gjatë seancës (për shembull, zbulimin e mbivendosjeve, modeleve të pazakonta të hyrjes që nuk janë në përputhje me gjendjen e pajisjes ose transmetimin e njëkohshëm të ekranit) veçanërisht të rëndësishme.

Në trend

Më e shikuara

Po ngarkohet...