Devis de remise multi-licences
Données concernant les menaces Logiciels malveillants mobiles Logiciel malveillant mobile Herodotus

Logiciel malveillant mobile Herodotus

Par Mezo en Logiciels malveillants mobiles, Cheval de Troie bancaire
Se traduisent par :

Des chercheurs en sécurité ont découvert un nouveau cheval de Troie bancaire Android nommé Herodotus, utilisé dans des campagnes actives de prise de contrôle d'appareils (DTO). Les premières activités ont été observées ciblant des utilisateurs en Italie et au Brésil, et l'analyse indique que le logiciel malveillant est proposé en tant que service (MaaS).

Faux Chrome Dropper, SMiShing et chargement latéral

Les opérateurs distribuent Herodotus via des applications d'installation qui imitent des applications légitimes (se faisant passer pour Google Chrome avec des noms de package comme com.cd3.app) et attirent les victimes par le biais d'hameçonnage par SMS et d'autres techniques d'ingénierie sociale. Une fois installée (souvent par chargement latéral), l'application télécharge et installe le code malveillant.

Les capacités d’Hérodote

  • Utiliser abusivement les services d'accessibilité d'Android pour contrôler l'écran, afficher des superpositions opaques et de fausses pages de connexion par-dessus des applications bancaires et de cryptomonnaies.
  • Intercepter et exfiltrer le contenu affiché à l’écran et les messages SMS (y compris les codes 2FA).
  • S’octroyer des autorisations supplémentaires, capturer les codes PIN ou les schémas de verrouillage d’écran, installer des APK distants et persister dans les sessions en direct au lieu de simplement voler des identifiants statiques.
  • Enregistrez les frappes au clavier, diffusez les écrans et effectuez des actions de saisie à distance pour prendre le contrôle du compte.

« Humaniser » la fraude à distance pour déjouer les détecteurs comportementaux

La principale caractéristique d'Herodotus est sa capacité à imiter le rythme des interactions humaines. Ce logiciel malveillant peut ajouter des délais aléatoires entre les événements de saisie automatisés (délai constaté : environ 300 à 3 000 millisecondes), donnant ainsi l'impression que la saisie à distance est effectuée par un véritable utilisateur plutôt que par une machine. Il s'agit là d'une tentative manifeste de contourner les systèmes antifraude et biométriques basés sur le rythme ou le comportement. Cette randomisation du rythme est interprétée comme une stratégie délibérée visant à neutraliser les défenses qui reposent principalement sur le tempo et la cadence de frappe.

Liens avec Brokewell

L'analyse montre qu'Herodotus n'est pas simplement une nouvelle version de Brokewell, mais qu'il semble avoir réutilisé des techniques et des fragments de code (y compris des méthodes d'obfuscation et des références littérales telles que des marqueurs comme 'BRKWL_JAVA') de Brokewell et d'autres familles — intégrant ainsi des composants connus dans une nouvelle souche activement développée.

Étendue géographique et cibles

Des chercheurs ont découvert des pages de superposition conçues pour des banques aux États-Unis, en Turquie, au Royaume-Uni et en Pologne, ainsi que pour des portefeuilles et des plateformes d'échange de cryptomonnaies. Ces découvertes indiquent que les opérateurs étendent leur zone géographique et leurs secteurs d'activité au-delà des premières détections en Italie et au Brésil. Le projet est en cours de développement et est proposé à d'autres acteurs de la fraude via des forums clandestins.

Actions pratiques pour prioriser

  • Considérez les solutions antifraude basées uniquement sur le comportement comme un signal parmi d'autres dans une défense multicouche : combinez la posture de l'appareil, les contrôles d'intégrité (détection des abus d'accessibilité et des applications installées latéralement), la télémétrie réseau et l'évaluation des risques liés aux transactions.
  • Détecter et bloquer les chargements latéraux et les installations de paquets non autorisées ; surveiller les fenêtres superposées suspectes et l’utilisation des services d’accessibilité sur les points de terminaison.
  • Mettez en œuvre une authentification multifactorielle forte (notifications push ou jetons matériels plutôt que SMS lorsque cela est possible), un renforcement de la sécurité des appareils et des mises à jour régulières du système d'exploitation et des applications.
  • Mettre en œuvre des limitations de transactions et une vérification secondaire pour les actions à haut risque susceptibles d'être détournées lors d'une session en direct.

Points techniques à retenir

Contrairement aux chevaux de Troie classiques de vol d'identifiants, Herodotus est conçu pour rester actif pendant les sessions en direct et pour effectuer des prises de contrôle de compte à distance, tout en préservant la session. C'est pourquoi la détection en temps réel et les mesures d'atténuation en cours de session (par exemple, la détection des superpositions, des schémas d'entrée inhabituels incompatibles avec l'état de l'appareil ou de la diffusion simultanée d'écran) sont particulièrement importantes.

Tendance

Alerte arnaque au serveur de messagerie Web

Hameçonnage, Courrier indésirable
Dans le paysage en constante évolution des cybermenaces, les escroqueries se faisant passer pour des notifications légitimes gagnent en sophistication. L'arnaque aux alertes de serveur de messagerie Web en est un parfait exemple : elle cible des utilisateurs peu méfiants avec des e-mails frauduleux semblant provenir de services de messagerie Web fiables. Ces e-mails ne sont associés à aucune...

Le plus regardé

Chargement...