हेरोडोटस ट्रोजन शक्तिशाली मानवासारखा हल्ला करतो

ठळक मुद्दे

• बँका आणि मोबाईल सुरक्षेद्वारे वापरलेली वेळ- आणि वर्तणूक-आधारित ओळख टाळण्यासाठी हेरोडोटस मानवी टायपिंग तालांची नक्कल करते.
• स्मिशिंग आणि ॲक्सेसिबिलिटी दुरुपयोगाद्वारे वितरित केले गेले, ते एसएमएस ओटीपी रोखते आणि क्रेडेन्शियल चोरण्यासाठी आच्छादन वापरते.
• ट्रोजन, इंस्टॉलेशननंतर, येणारे एसएमएस संदेश रोखू शकतो, एक-वेळ पासवर्ड उघड करू शकतो, पासवर्ड चोरण्यासाठी आच्छादित पृष्ठे प्रदर्शित करू शकतो आणि फसव्या बँक हस्तांतरणासाठी दूरस्थपणे ॲप्सचे नियंत्रण करू शकतो.

हेरोडोटस नावाचे नवीन Android बँकिंग ट्रोजन उदयास आले आहे जे भूतकाळातील वर्तणूक-आधारित डिटेक्शन सिस्टीमला स्लिप करण्यासाठी मानवी परस्परसंवाद पद्धतींची जाणीवपूर्वक नक्कल करते. ThreatFabric मधील सुरक्षा संशोधक आणि एकाधिक रिपोर्टिंग आउटलेट्स हेरोडोटसचे वर्णन मालवेअर-एज-ए-सर्व्हिस प्लॅटफॉर्म म्हणून करतात.

या मालवेअरचे ऑपरेटर आधीच इटली आणि ब्राझीलमधील वापरकर्त्यांविरुद्ध लक्ष्यित स्मिशिंग मोहिमांमध्ये ते तैनात करत आहेत. मालवेअर केवळ क्लासिक मोबाइल फसवणूक तंत्रांसाठीच नाही तर लय- आणि वेळ-आधारित फसवणूकविरोधी तपासण्यांना पराभूत करण्याच्या उद्देशाने वेळ आणि इनपुट यादृच्छिकता सादर करण्यासाठी उल्लेखनीय आहे.

हेरोडोटस कसे कार्य करते

हेरोडोटस अनेक सुप्रसिद्ध डिव्हाइस टेकओव्हर (डीटीओ) युक्ती एकत्रित करते ज्यात मानवासारख्या इनपुट सिम्युलेशनवर नवीन फोकस आहे. आक्रमणकर्ते SMS फिशिंग लिंकद्वारे प्रारंभिक पेलोड वितरित करतात जे कस्टम ड्रॉपर स्थापित करतात. ते ड्रॉपर भारदस्त नियंत्रण मिळविण्यासाठी ॲक्सेसिबिलिटी सेवेच्या वर्कफ्लोचा उपयोग करते, परवानगी-मंजुरीची पायरी लपविण्यासाठी आच्छादन स्क्रीन वापरून वापरकर्त्याच्या मते सौम्य लोडिंग स्क्रीन प्रदर्शित होते. एकदा इंस्टॉल केल्यावर, ट्रोजन एक-वेळ पासवर्ड कॅप्चर करण्यासाठी SMS संदेशांना रोखू शकतो, क्रेडेन्शियल्स काढण्यासाठी आच्छादित पृष्ठे उपयोजित करू शकतो आणि फसव्या बँक हस्तांतरणास प्रारंभ करण्यासाठी दूरस्थपणे ॲप्स नियंत्रित करू शकतो.

हेरोडोटसला अनेक पूर्ववर्तींपेक्षा वेगळे करते ते इनपुट दिनचर्यामध्ये यादृच्छिक विलंब इंजेक्शन आहे. जलद, अंदाज करण्यायोग्य स्वयंचलित कीस्ट्रोक पाठवण्याऐवजी, मालवेअर व्हेरिएबल पॉज आणि टायपिंग पॅटर्न इंजेक्ट करते जे मानवी संकोच आणि तालांची नक्कल करतात. हे शोध नियम आणि फसवणूक विरोधी हेरिस्टिक्सला कमी करते जे बॉट्स एकसमान जलद टाइप करतात किंवा यांत्रिक वेळेचे नमुने फॉलो करतात.

मानवी मिमिक्री का महत्त्वाची आहे

अँटी-फसवणूक आणि वर्तणुकीशी बायोमेट्रिक्स सिस्टम अनेकदा विसंगत इनपुट वैशिष्ट्ये ध्वजांकित करतात, जसे की सातत्यपूर्ण इंटर-कीस्ट्रोक अंतराल, अनैसर्गिकपणे वेगवान नेव्हिगेशन किंवा पुनरावृत्ती होणारे वेळेचे नमुने. स्टोकास्टिक विलंब आणि अधिक सेंद्रिय इनपुट ट्रेस सादर करून, हेरोडोटस हे सिग्नल कमी करते की या प्रणाली स्वयंचलित किंवा फसव्या म्हणून सत्रांचे वर्गीकरण करण्यासाठी अवलंबून असतात.

व्यवहारात, याचा अर्थ असा आहे की तडजोड केलेला फोन नियंत्रित करणारा रिमोट हल्लेखोर कायदेशीर मानवी मालक असल्याचे दिसून येऊ शकते, डिव्हाइस टाइप करणे आणि नेव्हिगेट करणे, व्यवहार करणे आणि प्रमाणीकरण प्रवाह बँका आणि डिव्हाइस-निरीक्षण साधने या दोन्हीसाठी कायदेशीर दिसू शकतात.

टाइमिंग चेकला पराभूत करण्यापलीकडे, मालवेअरचा एसएमएस इंटरसेप्शन आणि आच्छादन हल्ल्यांचा एकत्रित वापर म्हणजे आक्रमणकर्ते 2FA कोड मिळवू शकतात आणि क्रेडेन्शियल्स कॅप्चर करण्यासाठी बनावट इंटरफेसची खात्री पटवून देणारे पीडितांना दाखवू शकतात. ॲक्सेसिबिलिटी दुरुपयोग वापरकर्त्यांना परवानगी स्वीकृतीद्वारे मार्गदर्शन करून आणि नंतर पार्श्वभूमीत संवेदनशील क्रिया पूर्ण करून, Android 13 आणि नंतर चालणाऱ्या डिव्हाइसेससह अलीकडील Android आवृत्त्यांवरही व्यापक नियंत्रण सुनिश्चित करते.

कोणाला टार्गेट केले जात आहे

हेरोडोटसचे श्रेय असलेल्या सध्याच्या मोहिमा इटली आणि ब्राझीलवर केंद्रित आहेत, जेथे निरीक्षकांनी सक्रिय स्मिशिंग वितरण आणि यशस्वी डिव्हाइस-टेकओव्हर घटना पाहिल्या आहेत. धोक्याचे अभिनेते हेरोडोटसचे MaaS मॉडेलद्वारे विपणन करत आहेत, ज्यामुळे आर्थिकदृष्ट्या प्रेरित गटांचा प्रसार सक्षम होतो ज्यांच्याकडे स्वतःला सखोल विकास कौशल्ये नसतात. MaaS संरचना अवलंब आणि पुनरावृत्तीला गती देते, वित्तीय संस्था आणि मोबाइल सुरक्षा विक्रेत्यांसाठी शोध धोरणे स्वीकारण्याची निकड वाढवते.

बचावात्मक उपाय आणि शिफारसी

हेरोडोटस विरुद्ध बचाव करण्यासाठी एक स्तरित दृष्टीकोन आवश्यक आहे जो साध्या वेळेच्या ह्युरिस्टिक्सच्या पलीकडे जातो. सुरक्षा संघांनी हे उपाय एकत्र करण्याचा विचार केला पाहिजे:

• कठोर परवानगी वाहते: वापरकर्त्यांसाठी प्रवेशयोग्यता आणि आच्छादित परवानगी विनंत्या अधिक पारदर्शक बनवा आणि स्वयंचलित सक्षम मार्ग मर्यादित करा.
• बहु-घटक विसंगती सिग्नल: ॲप दृश्यमानता बदल, अनपेक्षित प्रवेशयोग्यता सेवा सक्रियकरण आणि केवळ कीस्ट्रोक वेळेवर अवलंबून न राहता वर्तणुकीच्या स्कोअरसह SMS इंटरसेप्शनचे प्रयत्न यांसारखे डिव्हाइस पर्यावरण संकेत परस्परसंबंधित करा.
• ॲप कठोर करणे आणि सत्यापन: बँकिंग ॲप्सना मजबूत ॲप इंटिग्रिटी चेक अंमलात आणण्यासाठी आणि अग्रभाग सत्राशी विसंगत आच्छादन प्रयत्न किंवा पार्श्वभूमी क्रियाकलाप शोधण्यासाठी प्रोत्साहित करा.
• स्मिशिंग वर वापरकर्ता शिक्षण: संशयास्पद SMS लिंक्स आणि अज्ञात ॲप्सना प्रवेशयोग्यता परवानग्या देण्याच्या जोखमींची ओळख मजबूत करा.
• एंडपॉइंट मॉनिटरिंग: संशयास्पद ऍक्सेसिबिलिटी API वापर आणि आच्छादनांना ध्वजांकित करणारे आणि प्रक्रिया इंजेक्शन किंवा ड्रॉपर वर्तनाची तपासणी करणारे मोबाइल धोक्याचे डिटेक्शन तैनात करा.

Outlook

हेरोडोटस एक संबंधित ट्रेंड स्पष्ट करतो: विरोधक केवळ स्वयंचलित हल्ल्यांऐवजी कायदेशीर मानवी वर्तनाचे अनुकरण करण्यासाठी मालवेअरचे अभियांत्रिकी वाढवत आहेत. ते शिफ्ट शोधणे गुंतागुंतीचे करते परंतु बचावकर्त्यांना विकसित होण्याची संधी देखील निर्माण करते.

अधिक समृद्ध संदर्भित टेलिमेट्री आणि मजबूत परवानगी नियंत्रणांसह वर्तणुकीशी बायोमेट्रिक्स फ्यूज करून, संस्था जाणूनबुजून “मानवी कृती” करणाऱ्या मालवेअरच्या विरूद्ध देखील भेदभावपूर्ण शक्ती पुनर्संचयित करू शकतात. Herodotus च्या MaaS चा झपाट्याने प्रसार ट्रोजनचा प्रभाव मर्यादित करण्यासाठी विक्रेते आणि बँकांमध्ये समन्वित संरक्षणात्मक अद्यतने तसेच वापरकर्ता जागरूकता मोहिमांची गरज अधोरेखित करते.