Prema izvještaju holandske firme ThreatFabric, Herodotus je djelo malo poznatog hakera koji reklamira malver na hakerskim forumima, a koji se potpisuje kao K1R0. Malver može preuzeti potpunu kontrolu nad telefonom žrtve kako bi ukrao novac iz aplikacija banaka i lozinke onlajn naloge.
Herodotus se već koristi u kampanjama u Italiji i Brazilu. U Italiji se maskirao u aplikaciju Banca Sicura, dok je u Brazilu koristio aplikaciju pod nazivom Modulo Seguranca Stone, lokalnog provajdera plaćanja.
ThreatFabric je takođe pronašao lažne stranice za preklapanje ekrana koje Herodotus može da prikaže preko legitimnih aplikacija banaka i kripto-platformi u SAD, Velikoj Britaniji, Turskoj, Poljskoj i drugim zemljama, što ukazuje da je malver u fazi aktivnog razvoja i da se može očekivati da će se dalje razvijati i koristiti u globalnim kampanjama.
Malver se širi putem SMS poruka koje korisnike navode da preuzmu lažnu aplikaciju. Nakon instalacije, Herodotus čeka da korisnik otvori ciljanu aplikaciju banke, a zatim prikazuje lažni interfejs (overlay) koji imitira izgled prave aplikacije i tako krade kredencijale za prijavu.
Takođe presreće SMS poruke sa jednokratnim kodovima i koristi Android Accessibility uslugu da bi čitao šta se prikazuje na ekranu uređaja.
Međutim, ključna inovacija je u načinu na koji se ponaša kada napadač preuzme kontrolu nad uređajem: umjesto da automatski popunjava polja, Herodotus “kuca” svako slovo pojedinačno, uz nasumične pauze od 0,3 do 3 sekunde između pritisaka tastera, oponašajući ritam ljudskog kucanja.
Ovaj pristup otkrivanje malvera čini daleko težim, jer se ponaša kao stvarni korisnik, a ne automatizovani bot.
Bankarski trojanci poput Herodotusa više nisu samo alat za krađu lozinki. Oni omogućavaju potpuno preuzimanje kontrole nad uređajem, tako da napadači mogu da potvrde transakcije u aplikaciji, mijenjaju bankovne naloge za uplatu i pristupaju svim online računima korisnika.
Kako se zaštititi
– Ne preuzimajte aplikacije preko linkova u SMS-u ili mejlu.
– Uvijek koristite Google Play Protect i redovno ažurirajte sistem.
– Uključite 2FA i nikada ne dijelite jednokratne kodove.
– Obratite pažnju na aplikacije koje traže pristup uslugama pristupačnosti (Accessibility Service) jer je to najčešće znak zloupotrebe, piše Informacija.
Saznajte sve o najvažnijim vijestima i događajima, pridružite se našoj Viber zajednici ili čitajte na Google News.