Herodotus mobil skadlig programvara
Säkerhetsforskare har upptäckt en ny Android-banktrojan vid namn Herodotus som används i aktiva DTO-kampanjer (Device Takeover). Tidig aktivitet har observerats riktad mot användare i Italien och Brasilien, och analyser tyder på att skadlig programvara erbjuds som Malware-as-a-Service (MaaS).
Innehållsförteckning
Falsk kromdropper, SMiShing och sidladdning
Operatörer distribuerar Herodotus via dropper-applikationer som utger sig för att vara legitima appar (som enligt uppgift utger sig för att vara Google Chrome med paketnamn som com.cd3.app) och lockar offer genom SMS-nätfiske och andra sociala ingenjörskonstvektorer. När dropper-applikationen är installerad (ofta genom sidladdning) hämtar och installerar den den skadliga nyttolasten.
Herodotos förmågor
- Missbruka Androids tillgänglighetstjänster för att styra skärmen, presentera ogenomskinliga överlägg och visa falska inloggningssidor över bank- och kryptoappar.
- Avlyssna och stäng av innehåll på skärmen och SMS-meddelanden (inklusive 2FA-koder).
- Ge sig själv extra behörigheter, samla in PIN-koder eller mönster för låsskärmen, installera fjärr-APK:er och lagra dem i livesessioner istället för att bara stjäla statiska inloggningsuppgifter.
- Logga tangenttryckningar, streama skärmdumpar och utför fjärrinmatningsåtgärder för att genomföra kontoövertagande.
“Humanisera” fjärrbedrägerier för att besegra beteendedetektorer
Herodotos utmärkande funktion är dess försök att efterlikna timing av mänsklig interaktion. Skadlig programvara kan lägga till slumpmässiga fördröjningar mellan automatiserade inmatningshändelser (rapporterat fördröjningsintervall ~300–3 000 millisekunder) så att fjärrskrivning ser mer ut som en riktig användares och mindre som maskinhastighet – ett tydligt försök att kringgå timing- eller beteendebaserad bedrägeribekämpning och biometrisk detektion. Denna slumpmässiga timing beskrivs som ett avsiktligt försök att besegra försvar som främst förlitar sig på inmatningstempo och tangenttryckningskadens.
Anslutningar till Brokewell
Analys visar att Herodotos inte bara är en ny version av Brokewell, utan att den verkar ha återanvänt tekniker och kodfragment (inklusive obfuskationsmetoder och bokstavliga referenser som markörer som 'BRKWL_JAVA') från Brokewell och andra familjer – vilket effektivt sammanfogar kända komponenter till en ny, aktivt utvecklad stam.
Geografisk omfattning och mål
Forskare har återfunnit överläggssidor skräddarsydda för banker i USA, Turkiet, Storbritannien och Polen, samt för kryptovalutaplånböcker och -börser – bevis på att operatörerna breddar sin målgeografi och vertikaler bortom de initiala observationerna i Italien/Brasilien. Projektet är aktivt under utveckling och marknadsförs till andra bedragaraktörer via underjordiska forum.
Praktiska åtgärder att prioritera
- Behandla bedrägeribekämpningslösningar som enbart riktar sig mot beteenden som en enda signal i ett flerskiktat försvar: kombinera enhetsstatus, integritetskontroller (upptäck tillgänglighetsmissbruk och sidinstallerade appar), nätverkstelemetri och riskbedömning av transaktioner.
- Upptäck och blockera sidladdning och obehöriga paketinstallationer; övervaka misstänkta överläggsfönster och användning av tillgänglighetstjänster på slutpunkter.
- Tillämpa stark flerfaktorsautentisering (push- eller hårdvarutokens via SMS där det är möjligt), enhetshärdning och snabba OS-/appuppdateringar.
- Implementera transaktionsbegränsningar och sekundär verifiering för högriskåtgärder som kan missbrukas under en livesession.
Teknisk slutsats
Till skillnad från enkla trojaner som samlar in autentiseringsuppgifter är Herodotus utformad för att förbli aktiv under livesessioner och för att utföra fjärrövertaganden av konton som bevarar sessioner. Det gör det särskilt viktigt att upptäcka i realtid och minska riskerna under sessioner (till exempel att upptäcka överlagringar, ovanliga inmatningsmönster som inte överensstämmer med enhetens tillstånd eller samtidig skärmströmning).
