Çoklu Lisans İndirim Teklifi
Tehdit Veritabanı Mobil Kötü Amaçlı Yazılım Herodot Mobil Kötü Amaçlı Yazılım

Herodot Mobil Kötü Amaçlı Yazılım

Mezo'de Mobil Kötü Amaçlı Yazılım, Bankacılık Truva Atı'de
Çevir:

Güvenlik araştırmacıları, aktif cihaz ele geçirme (DTO) kampanyalarında kullanılan Herodotus adlı yeni bir Android bankacılık truva atını ortaya çıkardı. İlk etkinlik İtalya ve Brezilya'daki kullanıcıları hedef aldı ve analizler, kötü amaçlı yazılımın Hizmet Olarak Kötü Amaçlı Yazılım (MaaS) olarak sunulduğunu gösteriyor.

Sahte Chrome Damlalığı, SMiShing ve Yan Yükleme

Operatörler, Herodot'u meşru uygulamaları taklit eden (bildirildiğine göre com.cd3.app gibi paket adlarıyla Google Chrome gibi görünen) dropper uygulamaları aracılığıyla dağıtıyor ve kurbanları SMS kimlik avı ve diğer sosyal mühendislik yöntemleriyle cezbediyor. Dropper yüklendikten sonra (genellikle yan yükleme yoluyla), kötü amaçlı yazılımı alıp yüklüyor.

Herodot’un Yetenekleri

  • Ekranı kontrol etmek, opak kaplamalar sunmak ve bankacılık ve kripto uygulamaları üzerinde sahte giriş sayfaları görüntülemek için Android Erişilebilirlik hizmetlerini kötüye kullanın.
  • Ekrandaki içeriği ve SMS mesajlarını (2FA kodları dahil) yakalayın ve dışarı aktarın.
  • Kendisine ek izinler verin, kilit ekranı PIN'lerini veya desenlerini yakalayın, uzaktan APK'lar yükleyin ve yalnızca statik kimlik bilgilerini çalmak yerine canlı oturumlar içinde kalıcı hale getirin.
  • Hesap devralma işlemini gerçekleştirmek için tuş vuruşlarını kaydedin, ekran görüntülerini yayınlayın ve uzaktan giriş eylemleri gerçekleştirin.

Davranışsal Dedektörleri Yenmek İçin Uzaktan Dolandırıcılığı 'İnsanlaştırmak'

Herodot'un öne çıkan özelliği, insan etkileşim zamanlamasını taklit etme girişimidir. Kötü amaçlı yazılım, otomatik giriş olayları arasına rastgele gecikmeler ekleyebilir (raporlanan gecikme aralığı yaklaşık 300-3.000 milisaniyedir), böylece uzaktan yazma işlemi makine hızından çok gerçek bir kullanıcı gibi görünür. Bu, zamanlama veya davranışa dayalı dolandırıcılık önleme ve biyometrik algılamayı atlatmak için açık bir çabadır. Bu zamanlama rastgeleleştirmesi, esas olarak giriş temposuna ve tuş vuruşu ritmine dayanan savunmaları alt etmek için kasıtlı bir girişim olarak tanımlanmaktadır.

Brokewell’e Bağlantılar

Analizler, Herodot'un sadece Brokewell'in yeni bir versiyonu olmadığını, aynı zamanda Brokewell ve diğer ailelerden teknikleri ve kod parçalarını (karartma yöntemleri ve 'BRKWL_JAVA' gibi işaretleyiciler gibi tam referanslar dahil) yeniden kullandığını gösteriyor; böylece bilinen bileşenleri yeni ve aktif olarak geliştirilen bir türe etkili bir şekilde entegre ediyor.

Coğrafi Kapsam ve Hedefler

Araştırmacılar, ABD, Türkiye, İngiltere ve Polonya'daki bankalar ile kripto para cüzdanları ve borsaları için özel olarak hazırlanmış üst sayfalar buldular; bu da operatörlerin hedef coğrafyayı ve dikeyleri ilk İtalya/Brezilya gözlemlerinin ötesine genişlettiğinin kanıtı. Proje aktif olarak geliştirilmekte ve yeraltı forumları aracılığıyla diğer dolandırıcılık aktörlerine pazarlanmaktadır.

Önceliklendirmek İçin Pratik Eylemler

  • Yalnızca davranışa yönelik dolandırıcılık önleme çözümlerini katmanlı bir savunmada tek bir sinyal olarak ele alın: cihaz duruşunu, bütünlük kontrollerini (erişilebilirlik kötüye kullanımını ve yan yüklenen uygulamaları tespit edin), ağ telemetrisini ve işlem riski puanlamasını birleştirin.
  • Yan yükleme ve yetkisiz paket kurulumlarını tespit edin ve engelleyin; uç noktalarda şüpheli üst pencereleri ve erişilebilirlik hizmeti kullanımını izleyin.
  • Güçlü çok faktörlü kimlik doğrulamayı (mümkünse SMS üzerinden anlık veya donanımsal belirteçler), cihaz güçlendirmeyi ve zamanında işletim sistemi/uygulama güncellemelerini uygulayın.
  • Canlı oturum sırasında kötüye kullanılabilecek yüksek riskli eylemler için işlem kısıtlamaları ve ikincil doğrulama uygulayın.

Teknik Paket Servis

Basit kimlik bilgisi toplayan Truva atlarının aksine, Herodotus canlı oturumlar sırasında etkin kalmak ve uzaktan, oturumu koruyan hesap ele geçirmeleri gerçekleştirmek üzere tasarlanmıştır. Bu, gerçek zamanlı tespit ve oturum içi önlemlerin (örneğin, katmanların, cihaz durumuyla tutarsız alışılmadık giriş kalıplarının veya eş zamanlı ekran akışının tespiti) özellikle önemli olmasını sağlar.

trend

Webmail Sunucusu Uyarı Dolandırıcılığı

Kimlik avı, İstenmeyen e-posta
Sürekli gelişen siber tehdit ortamında, meşru bildirimler kisvesi altında gizlenen dolandırıcılıklar giderek daha karmaşık hale geliyor. Webmail Sunucusu Uyarı Dolandırıcılığı, güvenilir webmail hizmetlerinden geliyormuş gibi görünen sahte e-postalarla şüphelenmeyen kullanıcıları hedef alan başlıca bir örnektir. Bu e-postalar, hiçbir meşru şirket, kuruluş veya hizmet sağlayıcıyla ilişkili...

En çok görüntülenen

Yükleniyor...