На рынке мобильных угроз появился новый опасный троянец под названием Herodotus, который демонстрирует тревожную тенденцию - использование методов имитации человеческого поведения для обхода систем поведенческой биометрии. Как сообщает сервис мониторинга мобильных угроз, эта вредоносная программа была обнаружена в ходе рутинного наблюдения за каналами распространения зловредов, где она распространялась параллельно с известными семействами Hook и Octo.
Описание
Главной отличительной особенностью Herodotus является его способность имитировать человеческое поведение во время сеансов удаленного контроля. В отличие от большинства банковских троянцев, которые вводят текст мгновенно, Herodotus разбивает текст на отдельные символы и вводит их с случайными задержками от 0,3 до 3 секунд. Такой подход делает автоматизированный ввод текста более похожим на действия реального пользователя, что создает серьезные проблемы для систем обнаружения мошенничества, основанных на анализе поведенческих паттернов.
По данным аналитиков, Herodotus представляет собой классический банковский троянец с функциями удаленного контроля устройства (Device-Takeover). Его создатель, известный под псевдонимом K1R0, уже анонсировал программу как Malware-as-a-Service (вредоносное ПО как услуга) на одном из подпольных форумов, что указывает на коммерциализацию этой угрозы.
Распространение троянца осуществляется через метод side-loading, потенциально с использованием SMiShing-атак, когда жертва получает SMS с ссылкой на вредоносное приложение. Дроппер, написанный тем же разработчиком, обходит ограничения Android 13+ на использование сервисов доступности (Accessibility Services). После установки полезной нагрузки троянец запускает блокирующее наложение (overlay), маскирующееся под экран загрузки, чтобы скрыть подозрительную активность по предоставлению разрешений.
Основные возможности Herodotus включают кражу учетных данных через поддельные страницы поверх целевых приложений, перехват SMS для обхода двухфакторной аутентификации и удаленный контроль через сервисы доступности. Операторы могут выполнять клики, свайпы, ввод текста и глобальные действия на зараженном устройстве.
Аналитики отмечают связь Herodotus с другим банковским троянцем - Brokewell, обнаруженным в апреле 2024 года. Обе семьи используют схожие методы обфускации, а в коде Herodotus обнаружены прямые упоминания Brokewell. Однако текущая реализация динамически загружаемого модуля из Brokewell не полностью совместима с Herodotus, что ограничивает его возможности.
На момент исследования зафиксированы активные кампании в Италии и Бразилии. В Италии троянец маскируется под приложение "Banca Sicura", в Бразилии - под "Modulo Seguranca Stone". Также получены образцы фишинговых страниц для финансовых организаций США, Турции, Великобритании, Польши и криптовалютных кошельков.
Для защиты от подобных угроз эксперты рекомендуют многоуровневый подход к безопасности, сочетающий поведенческую биометрику с анализом окружения устройства. Простые системы, основанные только на темпе ввода или отпечатке устройства, становятся уязвимыми перед современными троянцами. Особое внимание следует уделять образованию пользователей о рисках установки приложений из непроверенных источников и методах социальной инженерии.
Появление Herodotus подтверждает растущую популярность банковских троянцев с функциями удаленного контроля среди киберпреступников и коммерческую эффективность модели Malware-as-a-Service. С учетом активной разработки и глобальных амбиций создателей, можно ожидать дальнейшего распространения этой угрозы по всему миру.
Индикаторы компрометации
Domains
- gj23j4jg.google-firebase.digital
SHA256
- 53ee40353e17d069b7b7783529edda968ad9ae25a0777f6a644b99551b412083
