Android-brukere i Italia (og inn Brasil) har en ny nettfiende å se opp for: Herodota skadelig programvare for banker i stand til å ta full kontroll over infiserte enheter og stjele penger fra nettkontoer. Denne trojaneren, utviklet av en forfatter kjent som K1R0 og oppdaget av ekspertene på ThreatFabricskiller seg ut for sin evne til imitere menneskelig atferd under fjernkontrolløkter, gjør mer vanskelig å oppdage av anti-svindelsystemer. Spredningen skjer via villedende SMS-meldinger som inviterer brukere til å installere en tilsynelatende legitim app; i Italia maskerte malware seg som «Trygg bank». Når den er installert, bruker Herodotus Android Accessibility Services til å lese skjerminnhold og legge falske skjermbilder over legitime bankapper, og samler dermed inn midlertidig legitimasjon og passord for å omgå tofaktorautentisering.
Det som gjør det spesielt lumsk er randomisering av skrivetider under datainntastingsom simulerer å trykke på individuelle taster, akkurat som en ekte person ville gjort med pauser fra 0,3 til 3 sekunder. Dette tiltaket reduserer sannsynligheten for at anti-svindelsystemer basert på atferdsanalyse vil gjenkjenne aktiviteten som automatisert og derfor potensielt illegitim. Skadevaren kommuniserer med kommandoservere via protokoll MQTT og kan distribueres som Malware-som-en-tjenestedet vil si som en tjeneste som kan leies av andre nettkriminelle, noe som utvider skadevareens handlingsområde. For å beskytte deg selv er det viktig å unngå å installere apper fra uoffisielle kilder, ikke åpne mistenkelige lenker mottatt via SMS og holde Android-systemet oppdatert sammen med pålitelige sikkerhetsverktøy.
Hvordan Herodotus bank malware fungerer og hva du risikerer
Går vi dypere inn i saken, kan vi se hvordan Herodotus opererer etter mønsteret til moderne Android-banktrojanere og tar kontroll over den infiserte enheten gjennom tilgjengelighetsfunksjoner, slik at den eksterne operatøren kan utføre handlinger på skjermen som å klikke på elementer, rulle sider eller skrive inn tekst. Når offeret åpner bankappen, Herodotus legger over en falsk skjerm som gjenskaper det virkelige grensesnittetsom lurer brukeren til å oppgi legitimasjon og midlertidige koder. Skadevaren avskjærer også innkommende SMSfor å innhente midlertidige koder relatert til tofaktorautentisering, og registrere hva som vises på skjermen.
Det særegne ved Herodot er måten som «humaniserer» dataregistrering: I stedet for å lime inn all informasjonen i et felt samtidig, simulerer den å skrive tegn for tegn med tilfeldige intervaller, og prøver å forvirre anti-svindelsystemer som overvåker hastighet og sekvenser av tastaturinndata. Denne teknikken øker sjansene for vellykkede tyverier, samtidig som den forblir gjenkjennelig av avanserte atferdsanalyseverktøy. Herodot kan også vise semi-transparente overlegg over infiserte apper for å skjule uredelige operasjoner fra offeret, og beskytte den eksterne operatøren mot mulig brukerintervensjon.
Fordelingen av Herodot skjer via smishing, dvs SMS med ondsinnede lenker som fører til en «dropper»programvare som laster ned og installerer faktisk skadelig programvare. Denne dropperen, skrevet av samme utvikler, er designet for å omgå begrensningene for Android 13+ og å veilede offeret i å aktivere tilgjengelighetstjenesten som er nødvendig for at trojaneren skal fungere.
Herodotus integrerer også tekniske løsninger som allerede er kjent i Brokewell bank malware, for eksempel kryptering av strenger lagret i innfødt kode og dekryptert under kjøring, gjør det vanskeligere å oppdage og analysere skadelig programvare. Selv om det deler noen likheter med Brokewell malware, cybereksperter på ThreatFabricsom oppdaget Herodot, forklarte i sin rapport:
(Herodotus) er under aktiv utvikling, låner teknikker lenge assosiert med Brokewell banktrojaner, og ser ut til å ha blitt spesielt utviklet for å vedvare i live-økter i stedet for bare å stjele statisk legitimasjon og fokusere på kontoovertakelse. En særegen evne, randomisering av tidsintervaller mellom tekstinndata, tar sannsynligvis sikte på å etterligne menneskelig atferd nøyaktig nok til å bypass bot og automatiseringsdeteksjonøktheuristikk og noen atferdsbiometri.
Hvordan forsvare deg mot Herodotus bank malware
Gitt faren for denne nye cybertrusselen, er det viktig å være mest oppmerksom på noen enkle, og samtidig effektive, forsvarsstrategierslik som de som er oppført nedenfor:
- Ikke installer programmer fra uoffisielle kilder ved å gå til begrense nedlastinger til Google Play Store.
- Ikke åpne mistenkelige lenker mottatt via SMSgjennom direktemeldingergå e-postosv.
- Vær oppmerksom på installer systemoppdateringer umiddelbartsamt oppdateringene som er tilgjengelige for appene installert på enheten og sikkerhetsprogramvaren som er i bruk, og reduserer dermed angrepsoverflaten og muligheten for infeksjoner fra sofistikert skadelig programvare som Herodotus.
