Posted inCyberAlert

Herodotus – trojan bankowy na Androida

Brak komentarzy.
Herodotus – trojan bankowy na Androida
źródło: www.threatfabric.com

Herodotus to nowy mobilny trojan klasy Device-Takeover, czyli złośliwe oprogramowanie mające na celu przejęcie kontroli nad urządzeniem. Autorzy raportu wskazują, że Herodotus jest oferowany jako Malware-as-a-Service. Operator o pseudonimie „K1R0” reklamował to narzędzie na forach cyberprzestępczych już we wrześniu 2025 r.

źródło: www.threatfabric.com

Sposób dystrybucji i początkowe działania

Dystrybucja przebiega głównie przez side-loading, często zaczynając się od SMiShingu (złośliwy link w SMS) lub innych technik socjotechnicznych. Pakiet instalacyjny (dropper) stara się zainstalować złośliwy ładunek i obejść ograniczenia Androida 13+ dotyczące usług dostępności (Accessibility Services). Dropper udaje często prawdziwą aplikację (np. przeglądarkę, moduł bezpieczeństwa), by zmanipulować użytkownika do uruchomienia instalacji poza oficjalnym sklepem Google Play. Po instalacji payload uruchamia proces, który prowadzi użytkownika do strony ustawień Usług Dostępności (Accessibility Services) systemu Android i prosi o ich aktywację. Po włączeniu usługi, malware wyświetla fałszywy ekran w stylu „ładowania” albo „weryfikacji” tzw. overlay, by ukryć użytkownikowi dalsze działania. Użycie Usług Dostępności daje trojanowi bardzo szeroki zakres kontroli nad interfejsem urządzenia np. możliwość symulowania kliknięć, wpisywania tekstu, odczytywania ekranu itp.

źródło: www.threatfabric.com

Główne funkcje i możliwości

Po uzyskaniu wymaganych uprawnień Herodotus potrafi:

  • słuchać i przechwytywać przychodzące SMS-y (np. kody 2FA)
  • wykrywać uruchomienie aplikacji bankowych lub finansowych, a następnie wyświetlać na nich swoje overlaye (fałszywe interfejsy), które wyglądają jak ekran logowania lub potwierdzenia transakcji
  • wykonywać aktywności takie jak klikanie elementów interfejsu, wpisywanie tekstu, wykonywanie gestów (swipe), przycisków systemowych (Back, Home, Recents) itd.
  • komunikować się ze zdalnym serwerem (C2 – Command and Control) za pomocą protokołu MQTT

„Humanizowanie” ataków – cecha wyróżniająca

Najważniejszą nowością jest próba udawania rzeczywistego użytkownika w trakcie zdalnej sesji. Zamiast „wkleić” cały tekst automatycznie (co wygląda maszynowo), Herodotus potrafi dzielić wpisywany tekst na znaki i wstawiać losowe opóźnienia między nimi (ok. 300–3000 ms). Celem jest obejście systemów wykrywających automatyczne wpisywanie przez analizę tempa i wzorców wpisu. ThreatFabric zauważa jednak, że bardziej zaawansowane systemy modelujące indywidualne wzorce użytkownika nadal mogą wykryć anomalię.

Kampanie i zasięg

W momencie raportu aktywne kampanie obserwowano w Włoszech i Brazylii. We Włoszech użyto nazwy aplikacji „Banca Sicura” (co po włosku oznacza „Bezpieczny Bank”). W Brazylii kampania podszywała się pod “Modulo Seguranca Stone”, prawdopodobnie odnosząc się do popularnej firmy obsługującej płatności.

Mimo że zaobserwowano tylko te aktywne kampanie, MTI zdobyła również fałszywe strony nakładek, które Herodotus wykorzystywał do celowania w organizacje finansowe w USA, Turcji, Wielkiej Brytanii, Polsce, a także w portfele i giełdy kryptowalut.

Rekomendacje dla organizacji

  1. Wzmocnij wykrywanie oparte na wielowymiarowej analizie sesji łącząc sygnały behawioralne (np. typ wpisywania, kliknięcia) z analizą urządzenia (fingerprint, wersja OS, root/jailbreak, uprawnienia) oraz analiza środowiska (geolokalizacja, sieć, czas aktywności)
  2. Monitoruj i blokuj aplikacje, które prosiły o uprawnienia Accessibility lub instalację z nieznanych źródeł a szczególnie gdy te aplikacje deklarują się jako „moduły bezpieczeństwa” lub „aktualizacje”.
  3. Upewnij się, że wykrywanie nakładek jest skuteczne poprzez weryfikację, czy aplikacja bankowa nie działa „na tle” innej aplikacji lub nakłada ekran, który wygląda jak „logowanie”, ale nie jest oficjalnym UI.

Rekomendacje dla użytkowników

  • Nie instaluj aplikacji spoza oficjalnego sklepu, chyba że masz absolutną pewność co do źródła i jej bezpieczeństwa.
  • Zwróć uwagę na aplikacje, które proszą o dostęp do Usług Dostępności. Wyjątkiem są tylko te, których funkcjonalność tego wymaga i rozumiesz, dlaczego.
  • Używaj silnych haseł i 2FA, ale pamiętaj, że  atak może obejmować przechwycenie SMS i zdalne sterowanie, więc bezpieczeństwo urządzenia mobilnego jest kluczowe. Rozważ używanie klucza sprzętowego Yubikey.
  • Regularnie sprawdzaj, jakie aplikacje mają wysokie uprawnienia (np. dostęp do odczytu SMS, przejęcie ekranu) i usuwaj te, które wydają się podejrzane.
  • Pamiętaj o regularnych aktualizacjach.

Podsumowanie

Herodotus to zagrożenie, które wyznacza kolejny krok w ewolucji mobilnych trojanów bankowych przede wszystkim poprzez włączenie mechanizmu „humanizacji” automatycznych działań, co może utrudnić wykrycie przez systemy oparte wyłącznie na prostych heurystykach behawioralnych.
To przypomnienie, że bezpieczeństwo urządzenia mobilnego ma dziś równie duże znaczenie jak bezpieczeństwo komputera.

Pełny raport: https://www.threatfabric.com/

Tags:

Komentarze

Nie ma jeszcze komentarzy. Może zaczniesz dyskusję?

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *