Phần mềm độc hại di động Herodotus

Các nhà nghiên cứu bảo mật đã phát hiện ra một trojan ngân hàng Android mới có tên Herodotus đang được sử dụng trong các chiến dịch chiếm quyền điều khiển thiết bị (DTO) đang diễn ra. Hoạt động ban đầu được phát hiện nhắm mục tiêu vào người dùng ở Ý và Brazil, và phân tích cho thấy phần mềm độc hại này được cung cấp dưới dạng Malware-as-a-Service (MaaS).

Ống nhỏ giọt mạ crôm giả, SMiShing và nạp đạn bên hông

Kẻ tấn công phân phối Herodotus thông qua các ứng dụng dropper giả mạo các ứng dụng hợp pháp (được cho là ngụy trang thành Google Chrome với tên gói như com.cd3.app) và dụ dỗ nạn nhân thông qua lừa đảo qua tin nhắn SMS và các hình thức tấn công kỹ thuật xã hội khác. Sau khi dropper được cài đặt (thường thông qua tải phụ), nó sẽ tìm nạp và cài đặt phần mềm độc hại.

Khả năng của Herodotus

• Lạm dụng dịch vụ Trợ năng của Android để kiểm soát màn hình, hiển thị lớp phủ mờ và hiển thị các trang đăng nhập giả trên các ứng dụng ngân hàng và tiền điện tử.
• Chặn và đánh cắp nội dung trên màn hình và tin nhắn SMS (bao gồm mã 2FA).
• Tự cấp cho mình thêm quyền, ghi lại mã PIN hoặc mẫu hình khóa màn hình, cài đặt APK từ xa và lưu lại trong các phiên trực tiếp thay vì chỉ đánh cắp thông tin đăng nhập tĩnh.
• Ghi lại các lần nhấn phím, truyền phát màn hình và thực hiện các hành động nhập liệu từ xa để chiếm đoạt tài khoản.

'Nhân bản hóa' gian lận từ xa để vượt qua máy phát hiện hành vi

Điểm nổi bật của Herodotus là nỗ lực mô phỏng thời gian tương tác của con người. Phần mềm độc hại này có thể thêm độ trễ ngẫu nhiên giữa các sự kiện nhập liệu tự động (khoảng trễ được báo cáo là ~300–3.000 mili giây) để việc nhập liệu từ xa trông giống người dùng thực hơn và ít giống tốc độ máy móc hơn — một nỗ lực rõ ràng nhằm vượt qua các biện pháp chống gian lận và phát hiện sinh trắc học dựa trên thời gian hoặc hành vi. Sự ngẫu nhiên hóa thời gian này được mô tả là một nỗ lực có chủ đích nhằm đánh bại các biện pháp phòng thủ chủ yếu dựa vào nhịp độ nhập liệu và nhịp độ gõ phím.

Kết nối đến Brokewell

Phân tích cho thấy Herodotus không chỉ đơn thuần là phiên bản mới của Brokewell, mà dường như nó đã tái sử dụng các kỹ thuật và đoạn mã (bao gồm các phương pháp làm tối nghĩa và các tham chiếu theo nghĩa đen như các dấu hiệu như 'BRKWL_JAVA') từ Brokewell và các họ khác — về cơ bản là ghép các thành phần đã biết vào một chủng mới đang được phát triển tích cực.

Phạm vi địa lý và mục tiêu

Các nhà nghiên cứu đã phát hiện ra các trang web che phủ được thiết kế riêng cho các ngân hàng ở Mỹ, Thổ Nhĩ Kỳ, Anh và Ba Lan, cũng như cho các ví và sàn giao dịch tiền điện tử — bằng chứng cho thấy các nhà điều hành đang mở rộng phạm vi địa lý và ngành nghề mục tiêu ra ngoài phạm vi ban đầu ở Ý/Brazil. Dự án đang được tích cực phát triển và tiếp thị cho các đối tượng lừa đảo khác thông qua các diễn đàn ngầm.

Các hành động thực tế cần ưu tiên

• Xử lý các giải pháp chống gian lận chỉ dựa trên hành vi như một tín hiệu trong hệ thống phòng thủ nhiều lớp: kết hợp trạng thái thiết bị, kiểm tra tính toàn vẹn (phát hiện hành vi lạm dụng khả năng truy cập và ứng dụng tải phụ), đo từ xa mạng và chấm điểm rủi ro giao dịch.
• Phát hiện và chặn tải phụ và cài đặt gói trái phép; giám sát các cửa sổ lớp phủ đáng ngờ và việc sử dụng dịch vụ trợ năng trên các điểm cuối.
• Áp dụng xác thực đa yếu tố mạnh mẽ (đẩy hoặc mã thông báo phần cứng qua SMS nếu có thể), tăng cường bảo mật thiết bị và cập nhật hệ điều hành/ứng dụng kịp thời.
• Triển khai các biện pháp hạn chế giao dịch và xác minh thứ cấp cho các hành động có rủi ro cao có thể bị lạm dụng trong phiên trực tiếp.

Kỹ thuật Takeaway

Không giống như các trojan thu thập thông tin đăng nhập đơn giản, Herodotus được thiết kế để duy trì hoạt động trong các phiên trực tiếp và thực hiện chiếm đoạt tài khoản từ xa, bảo toàn phiên. Điều này làm cho việc phát hiện theo thời gian thực và giảm thiểu rủi ro trong phiên (ví dụ: phát hiện lớp phủ, các mẫu đầu vào bất thường không nhất quán với trạng thái thiết bị hoặc phát trực tuyến màn hình đồng thời) trở nên đặc biệt quan trọng.