Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Malware móvil Malware móvil de Herodotus

Malware móvil de Herodotus

Por Mezo en Malware móvil, Troyano bancario
Traducir a:

Investigadores de seguridad han descubierto un nuevo troyano bancario para Android llamado Herodotus, que se está utilizando en campañas activas de toma de control de dispositivos (DTO). Se ha observado actividad temprana dirigida a usuarios en Italia y Brasil, y el análisis indica que el malware se ofrece como Malware como Servicio (MaaS).

Cajón de gotas cromado falso, SMiShing y carga lateral

Los operadores distribuyen Herodotus mediante aplicaciones de tipo dropper que suplantan la identidad de aplicaciones legítimas (al parecer, haciéndose pasar por Google Chrome con nombres de paquete como com.cd3.app) y engañan a las víctimas mediante phishing por SMS y otras técnicas de ingeniería social. Una vez instalado el dropper (a menudo mediante instalación manual), este descarga e instala el código malicioso.

Capacidades de Heródoto

  • Abusar de los servicios de accesibilidad de Android para controlar la pantalla, presentar superposiciones opacas y mostrar páginas de inicio de sesión falsas sobre aplicaciones bancarias y de criptomonedas.
  • Interceptar y extraer contenido en pantalla y mensajes SMS (incluidos los códigos de autenticación de dos factores).
  • Otorgarse permisos adicionales, capturar PIN o patrones de bloqueo de pantalla, instalar APK remotos y persistir dentro de sesiones en vivo en lugar de simplemente robar credenciales estáticas.
  • Registrar pulsaciones de teclas, transmitir pantallas y realizar acciones de entrada remotas para llevar a cabo la toma de control de la cuenta.

«Humanizando» el fraude remoto para burlar los detectores de comportamiento

La característica más destacada de Herodotus es su intento de imitar la sincronización de la interacción humana. El malware puede añadir retrasos aleatorios entre eventos de entrada automatizados (con un rango de retraso reportado de entre 300 y 3000 milisegundos), de modo que la escritura remota se asemeja más a la de un usuario real y menos a la velocidad de una máquina; un claro intento de eludir la detección biométrica y antifraude basada en el tiempo o el comportamiento. Esta aleatorización de la sincronización se describe como un intento deliberado de burlar las defensas que dependen principalmente del ritmo de entrada y la cadencia de pulsación de teclas.

Conexiones con Brokewell

El análisis muestra que Herodotus no es simplemente una nueva versión de Brokewell, sino que parece haber reutilizado técnicas y fragmentos de código (incluidos métodos de ofuscación y referencias literales como marcadores como 'BRKWL_JAVA') de Brokewell y otras familias, integrando efectivamente componentes conocidos en una nueva cepa en desarrollo activo.

Alcance geográfico y objetivos

Los investigadores han recuperado páginas web superpuestas diseñadas para bancos en EE. UU., Turquía, Reino Unido y Polonia, así como para monederos y plataformas de intercambio de criptomonedas; esto demuestra que los operadores están ampliando su alcance geográfico y sectorial más allá de los primeros casos detectados en Italia y Brasil. El proyecto se encuentra en fase de desarrollo y se promociona entre otros estafadores a través de foros clandestinos.

Acciones prácticas a priorizar

  • Considere las soluciones antifraude basadas únicamente en el comportamiento como una señal más en una defensa por capas: combine la postura del dispositivo, las comprobaciones de integridad (detectar el abuso de accesibilidad y las aplicaciones instaladas de forma externa), la telemetría de la red y la puntuación del riesgo de las transacciones.
  • Detectar y bloquear la instalación de paquetes mediante aplicaciones externas y sin autorización; supervisar la aparición de ventanas superpuestas sospechosas y el uso de servicios de accesibilidad en los endpoints.
  • Implementar una autenticación multifactor robusta (notificaciones push o tokens de hardware por SMS cuando sea posible), reforzar la seguridad de los dispositivos y realizar actualizaciones oportunas del sistema operativo y las aplicaciones.
  • Implementar límites de transacciones y verificación secundaria para acciones de alto riesgo que podrían ser objeto de abuso durante una sesión en vivo.

Conclusiones técnicas

A diferencia de los troyanos simples que roban credenciales, Herodotus está diseñado para permanecer activo durante las sesiones en vivo y para realizar tomas de control de cuentas de forma remota, preservando la sesión. Por ello, la detección en tiempo real y las medidas de mitigación durante la sesión (por ejemplo, la detección de superposiciones, patrones de entrada inusuales que no concuerdan con el estado del dispositivo o la transmisión simultánea de pantalla) son especialmente importantes.

Tendencias

Alerta de estafa del servidor de correo web

Suplantación de identidad (phishing), Correo basura
En el panorama en constante evolución de las ciberamenazas, las estafas disfrazadas de notificaciones legítimas son cada vez más sofisticadas. La estafa de alerta del servidor de correo web es un claro ejemplo, dirigida a usuarios desprevenidos con correos electrónicos fraudulentos que parecen provenir de servicios de correo web de confianza. Estos correos electrónicos no están asociados con...

Mas Visto

Cargando...