Herodot adında gelişmiş bir Android bankacılık truva atı, mobil tehdit ortamında ortaya çıktı ve tespit sistemlerinden kaçmak için çığır açan teknikler sundu.
Kötü amaçlı dağıtım kanallarının rutin izlenmesi sırasında Mobil Tehdit İstihbaratı hizmeti, Hook ve Octo gibi kötü şöhretli kötü amaçlı yazılım türlerinin yanı sıra dağıtılan bilinmeyen kötü amaçlı örnekleri keşfetti.
Dağıtım altyapısının paylaşılmasına rağmen bu örnekler, daha önce ThreatFabric analistleri tarafından tanımlanan bir kötü amaçlı yazılım ailesi olan Brokewell ile daha yakın benzerlikler ortaya çıkardı.
Bununla birlikte Herodot, Brokewell unsurlarını gelişmiş kaçırma için tasarlanmış orijinal kodla birleştiren belirgin bir tehdidi temsil ediyor.
Tehdit aktörü K1R0 tarafından yer altı forumlarında Hizmet Olarak Kötü Amaçlı Yazılım olarak sunulan kötü amaçlı yazılımın İtalya ve Brezilya’daki kullanıcıları hedef aldığı aktif kampanyalar gözlemlendi.
.webp)
ThreatFabric araştırmacıları, Herodot’un modern bankacılık truva atı trendlerini takip ettiğini ve onu diğer cihaz ele geçirme kötü amaçlı yazılımlarından ayıran bir özellik getirdiğini, yani davranışsal biyometrik tespitini atlamak için uzaktan kontrol oturumları sırasında insan davranışını taklit ettiğini belirledi.
.webp)
Kötü amaçlı yazılım, yandan yüklemeyle başlayan ve potansiyel olarak kurbanları kötü amaçlı indirme bağlantılarına yönlendiren SMiShing kampanyalarını içeren bir enfeksiyon zinciri üzerinden çalışıyor.
Herodotus, konuşlandırıldıktan sonra Erişilebilirlik Hizmetlerindeki Android 13+ kısıtlamalarını aşmak için tasarlanmış özel bir damlalıktan yararlanır.
Kurulumdan sonra, damlalık otomatik olarak yükü başlatıyor ve Erişilebilirlik Hizmeti ayarlarını açarak kurbanlardan hizmeti etkinleştirmelerini istiyor ve tehlikeli izinlerin verildiğini gizleyen yanıltıcı bir yükleme ekranı yer paylaşımı gösteriyor.
Başarılı bir konuşlandırmanın ardından Herodot, kurulu uygulama listelerini toplar ve bu verileri, hedeflenen uygulama listeleri ve karşılık gelen yer paylaşımlı bağlantılarla yanıt veren komuta ve kontrol sunucusuna iletir.
Truva atı, meşru bankacılık uygulamaları üzerinde sahte kimlik bilgisi toplama ekranları dağıtıyor, oturum açma kimlik bilgilerini ve SMS müdahalesi yoluyla iki faktörlü kimlik doğrulama kodlarını ele geçiriyor.
Hileli İşlemleri İnsani Hale Getirmek
Herodot’u diğerlerinden ayıran şey, cihaz ele geçirme saldırıları sırasında metin girişi otomasyonuna yaklaşımıdır.
Geleneksel uzaktan erişim truva atları, ACTION_SET_TEXT işlevini veya pano manipülasyonunu kullanarak metni doğrudan giriş alanlarına yerleştirir ve tam metin dizelerini anında iletir.
Ancak bu makine benzeri davranış, davranışsal dolandırıcılık karşıtı sistemlerin otomatik saldırı göstergeleri olarak algıladığı şüpheli modeller yaratır.
Herodot, operatör tarafından belirlenen metnin, her karakterin rastgele aralıklarla ayrı ayrı ayarlandığı ayrı karakterlere bölündüğü yeni bir teknik uygular.
.webp)
Kötü amaçlı yazılım, karakter girişi olayları arasında 300 ila 3000 milisaniye arasında değişen gecikmelere neden olarak doğal insan yazma kalıplarını kopyalıyor.
Bu rastgeleleştirme, bireysel davranışı modelleyen karmaşık sistemler anormallikleri tespit etse de, girdi zamanlamasını ölçen ilkel davranış tespit sistemlerinden kaçınmaya çalışır.
Kötü amaçlı yazılım paneli, operatörlerin insan benzeri giriş simülasyonunu etkinleştirmek için geçiş yaptığı “Gecikmeli metin” etiketli bir onay kutusu içerir.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
