希罗多德移动恶意软件

安全研究人员发现了一种名为 Herodotus 的新型安卓银行木马，该木马正被用于主动设备劫持 (DTO) 攻击活动。早期活动已发现针对意大利和巴西用户的攻击，分析表明该恶意软件以恶意软件即服务 (MaaS) 的形式提供。

假冒的 Chrome Dropper、SMishing 和侧装式

攻击者通过伪装成合法应用程序的投放器（据报道，这些投放器伪装成谷歌浏览器，包名类似于com.cd3.app）分发Herodotus恶意软件，并通过短信钓鱼和其他社交工程手段诱骗受害者。一旦投放器被安装（通常是通过侧载方式），它就会获取并安装恶意载荷。

希罗多德的能力

• 滥用 Android 辅助功能服务来控制屏幕、显示不透明的覆盖层，并在银行和加密货币应用程序上显示虚假的登录页面。
• 拦截并窃取屏幕内容和短信（包括双因素身份验证码）。
• 它会授予自身额外的权限，捕获锁屏密码或图案，安装远程 APK，并在实时会话中保持驻留状态，而不仅仅是窃取静态凭据。
• 记录键盘输入、传输屏幕、执行远程输入操作以进行账户接管。

将远程欺诈“人性化”以绕过行为检测器

Herodotus 的突出特点在于它试图模仿人类交互的时机。该恶意软件可以在自动输入事件之间添加随机延迟（据报道延迟范围约为 300 至 3000 毫秒），使远程输入看起来更像真人操作，而非机器速度——这显然是为了绕过基于时间或行为的反欺诈和生物识别检测。这种时间随机化被认为是蓄意绕过主要依赖输入节奏和击键频率的防御机制。

与布鲁克韦尔的联系

分析表明，Herodotus 不仅仅是 Brokewell 的新版本，它似乎还重用了 Brokewell 和其他家族的技术和代码片段（包括混淆方法和字面引用，例如“BRKWL_JAVA”之类的标记）——有效地将已知组件拼接成一个新的、积极开发的版本。

地理范围和目标

研究人员已发现针对美国、土耳其、英国和波兰的银行以及加密货币钱包和交易所定制的页面叠加层——这表明，这些运营者正在扩大其目标地域和垂直领域，不再局限于最初的意大利/巴西。该项目仍在积极开发中，并通过地下论坛向其他诈骗分子进行推广。

优先采取的实际行动

• 将仅基于行为的反欺诈解决方案视为分层防御中的一个信号：结合设备姿态、完整性检查（检测辅助功能滥用和侧载应用程序）、网络遥测和交易风险评分。
• 检测并阻止侧载和未经授权的软件包安装；监控终端上的可疑覆盖窗口和辅助功能服务使用情况。
• 强制执行强大的多因素身份验证（尽可能通过短信推送或硬件令牌），加强设备安全，并及时更新操作系统/应用程序。
• 对可能在实时会话期间被滥用的高风险操作实施交易限流和二次验证。

技术要点

与简单的凭证窃取木马不同，Herodotus 的设计目的是在会话期间保持活跃，并执行远程、会话保留的账户接管。因此，实时检测和会话内缓解措施（例如，检测覆盖层、与设备状态不一致的异常输入模式或同时进行的屏幕流传输）尤为重要。