محققان امنیتی جزئیات یک تروجان بانکی جدید برای اندروید به نام Herodotus را منتشر کردهاند که در کمپینهایی علیه کاربران ایتالیا و برزیل برای انجام حملات دستگاهربایی (Device Takeover — DTO) به کار رفته است.
شرکت هلندی ThreatFabric در گزارشی که با The Hacker News به اشتراک گذاشته، میگوید هدفگیرندهی این بدافزار دستگاهها را تصاحب میکند و سعی دارد رفتار انسانی را تقلید کند تا سیستمهای مبتنی بر بیومتریک رفتاری و تشخیص رفتار رباتگونه را فریب دهد.
تبلیغ و سازوکار توزیع Herodotus
Herodotus طبق تبلیغات فروختهشده در فرومهای زیرزمینی از ۷ سپتامبر ۲۰۲۵ بهصورت Malware-as-a-Service (MaaS) عرضه شده و از اندروید نسخهٔ 9 تا 16 پشتیبانی میکند. بررسیها نشان میدهد که این نمونه لزوماً تکامل مستقیم بدافزاری مثل Brokewell نیست، اما بخشهایی از همان روشها و برخی نشانههای مشابه (مثلاً رشتههایی با عنوانهای مرتبط با Brokewell) در کد آن دیده میشود.
بدافزار معمولاً توسط یک dropper app (نصبکنندهٔ فریبآمیز) که خود را بهعنوان مرورگر Google Chrome جا میزند (نام پکیج: com.cd3.app)، از طریق پیامک فیشینگ یا روشهای مهندسی اجتماعی توزیع میشود.
چه کارهایی میتواند بکند؟
Herodotus از Accessibility Services سوءاستفاده میکند تا روی صفحه تعامل کند، پوششهای (overlay) فریبنده نمایش دهد و با قرار دادن صفحات ورود جعلی روی برنامههای بانکی، اطلاعات کاربری را بدزدد. قابلیتهای اصلی شامل اینهاست:
نمایش صفحات پوشش (opaque overlay) برای نمایش فرمهای ورود جعلی روی اپهای بانکی
سرقت کدهای دومرحلهای (OTP) ارسالشده از طریق SMS
رهگیری همهٔ محتوای نمایششده روی صفحه (screen capture / scraping)
افزایش مجوزها بهصورت خودکار در صورت نیاز
خواندن پین/الگو قفل صفحه (lockscreen PIN/pattern)
نصب APKهای از راه دور برای بارگذاری ماژولهای بیشتر
چه چیزی این نمونه را متفاوت میکند؟ — «تایپ شبیه انسان»
وجه متمایز Herodotus قابلیتی است که تلاش میکند «تایپ» و دیگر ورودیها را شبیه به یک انسان واقعی انجام دهد تا تشخیص رفتار ماشینی را دور بزند. این ویژگی بین ۳۰۰ تا ۳۰۰۰ میلیثانیه (۰.۳–۳ ثانیه) تأخیر تصادفی بین رویدادهای تایپ ایجاد میکند. هدف این است که الگوریتمهای ضدتقلب که سرعت و الگوی ورودی را بررسی میکنند، رفتار را انسانی تشخیص دهند و هشدار صادر نکنند.
ThreatFabric میگوید این تصادفیسازیِ تأخیر بین هر رویدادِ ورودی دقیقاً شبیه نحوهٔ تایپ یک کاربر واقعی است و مهاجمان با این روش تلاش میکنند از سیستمهای مبتنی بر «جلوگیری مبتنی بر فقط رفتار» (behavior-only anti-fraud) عبور کنند.
اهداف جغرافیایی و گسترش حملات
علاوه بر ایتالیا و برزیل، محققان نمونههایی از صفحات پوشش (overlay) هدفگذاریشده برای سازمانهای مالی در آمریکا، ترکیه، بریتانیا و لهستان را هم بهدست آوردهاند؛ همین مسأله نشان میدهد اپراتورها در تلاش برای گسترش برد اهداف خود هستند.
در بستر تهدیدهای موبایل چه میگذرد؟
این کشف در حالی منتشر میشود که اخیراً شرکتهایی مانند CYFIRMA هم بدافزارهای اندرویدی پیشرفتهای مثل GhostGrab را شناسایی کردهاند که همزمان دادههای بانکی را میدزدند و بهصورت مخفی Monero ماین میکنند — یعنی تهدیدهای موبایل بهسمت «درآمد دوگانه» برای مهاجمان در حال حرکتاند.
ThreatFabric توضیح میدهد که Herodotus همچنان در حال توسعه است و مشخص است که «برای ماندگاری در نشستهای زنده طراحی شده» — یعنی بیش از صرفاً سرقت شناسهٔ ایستا، روی تصاحب حسابها در زمان واقعی متمرکز است.
نکات مهم برای کاربران و مدیران
(خلاصهای از اقداماتی که میتواند کمک کند)
از نصب APK از منابع نامعتبر یا کلیک روی لینکهای دریافتی از طریق پیامک خودداری کنید.
تنظیمات «نصب از منابع ناشناس» را غیرفعال نگه دارید و تنها از Google Play یا منابع رسمی اپ دانلود کنید.
روی دستگاههای سازمانی سیاستهای مدیریت موبایل (MDM) را اعمال کنید تا نصب غیرمجاز مسدود شود.
بررسی کنید اپها چه مجوزهایی میگیرند؛ مجوزهای حساس مانند Accessibility یا REQUEST_INSTALL_PACKAGES را با دقت کنترل کنید.
استفاده از MFA واقعی (غیر-SMS در صورت امکان) و بررسی رفتار غیرمعمول ورود/نشست ها را در دستور کار قرار دهید.
در صورت شک به وجود بدافزار، دستگاه را آفلاین کنید، نمونههای لاگ و شبکه را جمعآوری کنید و برای بررسی با تیم پاسخ به حادثه تماس بگیرید.
جمعبندی
Herodotus نمونهای از روند جدیدی است که مهاجمان تلاش میکنند با «انسانیسازی» رفتارهای خودکار، از سامانههای تشخیص مبتنی بر رفتار عبور کنند. ترکیب سوءاستفاده از Accessibility، تزریق پوششهای فریبدهنده و ویژگیهای «تأخیر تایپ» نشان میدهد دفاع مبتنی بر یک معیار (مثلاً فقط تشخیص سرعت تایپ) بهتنهایی کافی نیست. بهروزرسانی سیاستها، کنترل دقیق مجوزها و آگاهی کاربران هنوز بهترین خط دفاعیاند.
