Новий різновид шкідливого програмного забезпечення для Android під назвою Herodotus викрадає облікові дані, фіксує натискання клавіш, транслює екрани жертв у реальному часі та перехоплює введення даних. Особливістю цього трояна є те, що він імітує поведінку людини, додаючи випадкові затримки між натисканнями клавіш, щоб уникнути виявлення системами поведінкового захисту від шахрайства.
Назва вірусу Herodotus походить від давньогрецького історика, відомого також як «батько брехні». Шкідливе ПЗ поєднує фрагменти банківського трояна Brokewell із власним новим кодом і використовується для захоплення пристроїв у Італії та Бразилії, як повідомляє нідерландська компанія ThreatFabric, що спеціалізується на аналітиці мобільних загроз.
Дослідники поки не зафіксували використання Herodotus в інших активних кампаніях, проте їм вдалося отримати фішингові сторінки-накладки, які імітують легітимні додатки банків та криптовалютних сервісів у США, Великій Британії, Туреччині та Польщі. Ці накладки відображаються поверх справжніх екранів входу в систему, коли користувач відкриває банківський застосунок, що дозволяє зловмисникам викрадати логіни, паролі та фінансові дані.
Розробник шкідливого ПЗ, який виступає під псевдонімом “K1R0” на злочинних форумах, з 7 вересня продає Herodotus як послугу (Malware-as-a-Service).
За словами аналітиків, троян все ще перебуває на стадії активної розробки, тому очікується його подальше вдосконалення та поширення у глобальних атаках.
Інфікування пристроїв відбувається через бокове завантаження (sideloading), найімовірніше, за допомогою фішингових SMS-повідомлень із шкідливим посиланням, яке містить завантажувач (dropper). Цей завантажувач, який також розроблений K1R0, наразі використовується лише для поширення Herodotus.
Після встановлення завантажувач спонукає користувача відкрити налаштування служби доступності Android, що, після активації, надає зловмиснику повний контроль над екраном пристрою – можливість читати, натискати та гортати елементи.
Після запуску на зараженому пристрої Herodotus поводиться як типовий банківський троян:
-
збирає список встановлених пакетів,
-
надсилає його на сервер управління,
-
очікує вказівок, які застосунки атакувати через накладки для викрадення облікових даних.
Крім цього, троян реєструє натискання клавіш, перехоплює повідомлення, включно з одноразовими паролями (OTP), та викрадає PIN-коди і відбитки пальців користувачів.
Унікальність Herodotus полягає у вмінні імітувати поведінку людини під час віддаленого керування пристроєм. Для цього текст, який вводить оператор, розбивається на окремі символи, і кожен вводиться з випадковою затримкою.
Затримки тривають від 300 до 3000 мілісекунд (0,3 – 3 секунди), що імітує природну швидкість набору тексту людиною. Такий підхід допомагає трояну обходити поведінкові системи виявлення, які аналізують лише швидкість введення даних, а не загальну модель користувацької активності.
На момент публікації Herodotus використовує той самий домен google-firebase[.]digital із сімома різними піддоменами. Деякі з них належать розробнику і використовувалися для тестування шкідливого ПЗ, інші, ймовірно, застосовувалися злочинцями для атак у різних регіонах.
У Італії Herodotus поширювався під назвою застосунку “Banca Sicura”, який підключався до піддомену “af45kfx”.
У Бразилії зловмисники використовували версію під назвою “Modulo Seguranca Stone”, що підключалася до піддомену “g24j5jgkid”.
