- 21,665
- 46
- 8 Ноя 2022
Herodotus «думает» над каждой буквой. Ведь в мире ботов подозрительной стала скорость, а не медлительность.
На мобильных устройствах под управлением Android зафиксировано появление новой вредоносной программы под названием Herodotus. Её разработчики внедрили необычную тактику обхода систем поведенческого анализа: при вводе текста вирус имитирует реальные действия человека, чтобы избежать распознавания автоматизированного поведения.
По данным Threat Fabric, Herodotus распространяется в рамках схемы вредоносного сервиса по подписке. В его продвижении участвуют те же фигуранты, что и в предыдущей кампании Brokewell. Пока вирус находится на стадии активной разработки, но уже используется в атаках против пользователей из Италии и Бразилии. Злоумышленники рассылают SMS с вредоносными ссылками, ведущими к загрузке установщика, который размещает основной компонент программы и обходит ограничения, введённые в Android 13 и более новых версиях.
Механизм загрузки включает принудительное открытие настроек специальных возможностей, после чего пользователю предлагается включить соответствующую службу. Одновременно на экране отображается ложное окно с анимацией загрузки, скрывающее происходящее в фоновом режиме. После получения необходимых разрешений вирус получает возможность управлять интерфейсом системы: выполнять касания, пролистывания, возврат на предыдущие экраны и ввод текста — как с помощью буфера обмена, так и напрямую с клавиатуры.
Чтобы не вызывать подозрений со стороны защитного ПО, Herodotus имитирует набор текста с переменными задержками между символами от 0,3 до 3 секунд. Такой разброс временных интервалов помогает сформировать поведение, схожее с реальными действиями человека, и затрудняет выявление автоматизации.
Как подчёркивают аналитики Threat Fabric, раньше задержки между действиями в Android-вредоносах применялись для технической синхронизации с пользовательским интерфейсом. В случае с Herodotus речь идёт о принципиально ином подходе — внедрении механизма «очеловечивания» специально для обхода алгоритмов, отслеживающих машиноподобную скорость работы.
Помимо этой особенности, функционал Herodotus включает панель управления с возможностью настраивать тексты SMS, создание поддельных интерфейсов банковских и криптовалютных приложений для кражи данных, наложение непрозрачных окон, скрывающих мошеннические действия от владельца устройства, перехват сообщений с кодами двухфакторной аутентификации и захват содержимого экрана.
Специалисты обнаружили как минимум семь разных поддоменов, связанных с Herodotus, что указывает на его активное распространение несколькими группами одновременно. Для минимизации рисков пользователям рекомендуется избегать установки APK-файлов из сторонних источников и обязательно проверять, включена ли защита Play Protect. Также стоит регулярно проверять и при необходимости отзывать разрешения на использование специальных возможностей у недавно установленных приложений.
На мобильных устройствах под управлением Android зафиксировано появление новой вредоносной программы под названием Herodotus. Её разработчики внедрили необычную тактику обхода систем поведенческого анализа: при вводе текста вирус имитирует реальные действия человека, чтобы избежать распознавания автоматизированного поведения.
По данным Threat Fabric, Herodotus распространяется в рамках схемы вредоносного сервиса по подписке. В его продвижении участвуют те же фигуранты, что и в предыдущей кампании Brokewell. Пока вирус находится на стадии активной разработки, но уже используется в атаках против пользователей из Италии и Бразилии. Злоумышленники рассылают SMS с вредоносными ссылками, ведущими к загрузке установщика, который размещает основной компонент программы и обходит ограничения, введённые в Android 13 и более новых версиях.
Механизм загрузки включает принудительное открытие настроек специальных возможностей, после чего пользователю предлагается включить соответствующую службу. Одновременно на экране отображается ложное окно с анимацией загрузки, скрывающее происходящее в фоновом режиме. После получения необходимых разрешений вирус получает возможность управлять интерфейсом системы: выполнять касания, пролистывания, возврат на предыдущие экраны и ввод текста — как с помощью буфера обмена, так и напрямую с клавиатуры.
Чтобы не вызывать подозрений со стороны защитного ПО, Herodotus имитирует набор текста с переменными задержками между символами от 0,3 до 3 секунд. Такой разброс временных интервалов помогает сформировать поведение, схожее с реальными действиями человека, и затрудняет выявление автоматизации.
Как подчёркивают аналитики Threat Fabric, раньше задержки между действиями в Android-вредоносах применялись для технической синхронизации с пользовательским интерфейсом. В случае с Herodotus речь идёт о принципиально ином подходе — внедрении механизма «очеловечивания» специально для обхода алгоритмов, отслеживающих машиноподобную скорость работы.
Помимо этой особенности, функционал Herodotus включает панель управления с возможностью настраивать тексты SMS, создание поддельных интерфейсов банковских и криптовалютных приложений для кражи данных, наложение непрозрачных окон, скрывающих мошеннические действия от владельца устройства, перехват сообщений с кодами двухфакторной аутентификации и захват содержимого экрана.
Специалисты обнаружили как минимум семь разных поддоменов, связанных с Herodotus, что указывает на его активное распространение несколькими группами одновременно. Для минимизации рисков пользователям рекомендуется избегать установки APK-файлов из сторонних источников и обязательно проверять, включена ли защита Play Protect. Также стоит регулярно проверять и при необходимости отзывать разрешения на использование специальных возможностей у недавно установленных приложений.
- Источник новости
- www.securitylab.ru
