📰 Android Authority

Nový Android malware Herodotus napodobuje lidské chování při krádeži peněz

kybernetická bezpečn
Nový Android malware Herodotus napodobuje lidské chování při krádeži peněz

Souhrn

Kyberbezpečnostní firma ThreatFabric identifikovala nový Android bankovní trojan nazvaný Herodotus, který při vzdáleném ovládání zařízení napodobuje lidské chování, aby unikl detekci. Malware dokáže zachytávat SMS zprávy s dvoufaktorovými kódy, krást přihlašovací údaje pomocí překryvných stránek a zneužívat služby usnadnění přístupu k zaznamenávání aktivit na obrazovce.

Klíčové body

  • Herodotus simuluje lidské chování včetně náhodných prodlev mezi stisky kláves, čímž obchází detekční nástroje založené na analýze rychlosti a rytmu psaní
  • Malware zneužívá služby usnadnění přístupu (accessibility services) Androidu k převzetí kontroly nad zařízením a zaznamenávání obrazovky
  • Útočníci mohou zachytávat SMS zprávy s 2FA kódy a nasazovat překryvné stránky pro krádež přihlašovacích údajů
  • Google potvrdil, že malware nebyl nalezen v obchodě Google Play a uživatelé jsou chráněni službou Google Play Protect
  • Tradiční bezpečnostní systémy založené pouze na monitorování rychlosti a rytmu zadávání dat mohou mít problém Herodotus odhalit

Podrobnosti

Herodotus představuje pokročilou evoluci Android bankovních trojanů. Klíčovou novinkou je schopnost napodobovat přirozené lidské chování při ovládání zařízení. Zatímco běžné malware obvykle provádí akce rychle a mechanicky, což umožňuje jejich detekci, Herodotus záměrně vkládá náhodné prodlevy mezi jednotlivé úkony, aby vypadal jako skutečný uživatel.

Malware využívá kombinaci několika útočných technik. Primárně zneužívá služby usnadnění přístupu, které jsou v Androidu určeny pro uživatele se zdravotním postižením. Tyto služby poskytují aplikacím rozšířená oprávnění k ovládání zařízení. Útočníci pak mohou na dálku ovládat infikované zařízení, procházet bankovní aplikace a iniciovat podvodné transakce.

Další technikou jsou overlay útoky, kdy malware zobrazí falešnou přihlašovací stránku přes legitimní aplikaci. Uživatel si myslí, že zadává údaje do své bankovní aplikace, ve skutečnosti je však předává útočníkům. Herodotus také zachytává SMS zprávy, což mu umožňuje získat dvoufaktorové autentizační kódy a dokončit přihlášení do bankovních účtů.

Google ve svém vyjádření uvedl, že na základě aktuální detekce nebyly v obchodě Google Play nalezeny žádné aplikace obsahující tento malware. Uživatelé Androidu jsou automaticky chráněni službou Google Play Protect, která je ve výchozím nastavení aktivní na zařízeních s Google Play Services a dokáže varovat před škodlivými aplikacemi i z externích zdrojů.

Proč je to důležité

Herodotus představuje významný posun v sofistikovanosti Android malwaru. Schopnost napodobovat lidské chování ukazuje, že útočníci aktivně hledají způsoby, jak obejít moderní detekční systémy založené na behaviorální analýze. Tradiční bezpečnostní nástroje, které spoléhají na detekci abnormálně rychlého nebo mechanického chování, mohou být proti tomuto typu hrozby neúčinné.

Pro uživatele to znamená nutnost zvýšené opatrnosti při instalaci aplikací z neoficiálních zdrojů a pečlivé kontroly oprávnění, zejména přístupu ke službám usnadnění. Pro bezpečnostní průmysl je to signál, že je třeba implementovat hlubší monitorování prostředí zařízení a kontextuální analýzu, která jde nad rámec pouhého sledování rychlosti a rytmu vstupů. Vývoj Herodotu také zdůrazňuje pokračující závody ve zbrojení mezi tvůrci malwaru a bezpečnostními řešeními v mobilním ekosystému.

Číst původní článek

Zdroj: 📰 Android Authority

Číst původní článek
Původní název: New Android malware lags like a human to steal money from your phone (Update: Google statement) - Android Authority