Новый вид вредоносного ПО для Android под названием Herodotus крадет учетные данные, записывает нажатия клавиш, транслирует экраны жертв в реальном времени и перехватывает ввод данных. Особенностью этого трояна является то, что он имитирует поведение человека, добавляя случайные задержки между нажатиями клавиш, чтобы избежать обнаружения системами поведенческой защиты от мошенничества.
Название вируса Herodotus происходит от древнегреческого историка, известного также как «отец лжи». Вредоносное ПО объединяет фрагменты банковского трояна Brokewell с собственным новым кодом и используется для захвата устройств в Италии и Бразилии, как сообщает нидерландская компания ThreatFabric, специализирующаяся на аналитике мобильных угроз.
Исследователи пока не зафиксировали использование Herodotus в других активных кампаниях, однако им удалось получить фишинговые страницы-накладки, имитирующие легитимные приложения банков и криптовалютных сервисов в США, Великобритании, Турции и Польше. Эти накладки отображаются поверх настоящих экранов входа в систему, когда пользователь открывает банковское приложение, что позволяет злоумышленникам похищать логины, пароли и финансовые данные.
Разработчик вредоносного ПО, выступающий под псевдонимом “K1R0” на преступных форумах, с 7 сентября продает Herodotus как услугу (Malware-as-a-Service).
По словам аналитиков, троян все еще находится на стадии активной разработки, поэтому ожидается его дальнейшее совершенствование и распространение в глобальных атаках.
Заражение устройств происходит через боковую загрузку (sideloading), скорее всего, с помощью фишинговых SMS-сообщений с вредоносной ссылкой, содержащей загрузчик (dropper). Этот загрузчик, который также разработан K1R0, в настоящее время используется только для распространения Herodotus.
После установки загрузчик побуждает пользователя открыть настройки службы специальных возможностей Android, что после активации дает злоумышленнику полный контроль над экраном устройства – возможность читать, нажимать и пролистывать элементы.
После запуска на зараженном устройстве Herodotus ведет себя как типичный банковский троян:
-
собирает список установленных пакетов,
-
отправляет его на сервер управления,
-
ожидает указаний, какие приложения атаковать через накладки для похищения учетных данных.
Кроме этого, троян регистрирует нажатия клавиш, перехватывает сообщения, включая одноразовые пароли (OTP), и похищает PIN-коды и отпечатки пальцев пользователей.
Уникальность Herodotus заключается в умении имитировать поведение человека во время удаленного управления устройством. Для этого текст, вводимый оператором, разбивается на отдельные символы, и каждый вводится со случайной задержкой.
Задержки длятся от 300 до 3000 миллисекунд (0,3 – 3 секунды), что имитирует естественную скорость набора текста человеком. Такой подход помогает трояну обойти поведенческие системы обнаружения, которые анализируют только скорость ввода данных, а не общую модель пользовательской активности.
На момент публикации Herodotus использует тот же домен Google-firebase [.] digital с семью различными поддоменами. Некоторые из них принадлежат разработчику и использовались для тестирования вредоносного ПО, другие, вероятно, применялись преступниками для атак в разных регионах.
В Италии Herodotus распространялся под названием “Banca Sicura”, который подключался к поддомену “af45kfx”.
В Бразилии злоумышленники использовали версию под названием “Modulo Seguranca Stone“, которая подключалась к поддомену”g24j5jgkid».
