Новый вирус Herodotus имитирует поведение человека на Android для обхода систем безопасности
Изображение: recraft
ИБ-эксперты из Threat Fabric зафиксировали появление нового семейства вредоносных программ для Android под названием Herodotus. Этот инструмент уже используется киберпреступниками в рамках модели MaaS (malware-as-a-service) и выделяется среди других троянов способностью имитировать человеческий ввод текста. Цель — обойти поведенческую аналитику и механизмы защиты, основанные на временных паттернах.
Herodotus находится в стадии активной разработки, но уже применяется против пользователей из Европы и Латинской Америки. Заражение начинается с рассылки фишинговых сообщений, содержащих ссылку на дроппер — вредоносный установщик. Этот компонент маскируется под легитимное приложение, а после запуска инициирует установку основной полезной нагрузки.
Особое внимание Herodotus уделяет системам специальных возможностей Android. Вредоносное ПО обходит ограничения, появившиеся в Android 13 и новее, с помощью социальной инженерии.
При запуске вредонос предлагает пользователю активировать службы специальных возможностей, открывает соответствующие настройки и параллельно выводит поддельный экран загрузки. Пока пользователь видит анимацию, в фоновом режиме предоставляются все необходимые разрешения.
Получив доступ, Herodotus получает возможность полностью взаимодействовать с пользовательским интерфейсом. Он способен нажимать на нужные координаты, прокручивать экран, возвращаться назад, копировать данные из буфера обмена и — главное — вводить текст. Именно на этом этапе в дело вступает новая техника обхода защиты.
Автоматический ввод текста, как правило, имеет постоянный ритм, что позволяет системам киберзащиты быстро выявлять подозрительную активность. Herodotus нарушает эту закономерность с помощью функции «гуманизации» ввода: каждая буква появляется с задержкой от 0,3 до 3 секунд. Это делает поведение программы похожим на действия реального пользователя, снижая риск обнаружения антифрод-системами и поведенческими анализаторами.
Специалисты Threat Fabric подчёркивают, что подобная рандомизация действительно соответствует реальному темпу набора текста человеком. Поведенческие алгоритмы, отслеживающие равномерность действий, теряют эффективность, если вредонос демонстрирует «человеческие» реакции и ритмы.
По данным исследователей, Herodotus распространяется теми же операторами, которые ранее стояли за активностью Brokewell. В обоих случаях наблюдается профессиональный подход к разработке вредоносных сервисов, ориентированных на финансовое мошенничество и сбор конфиденциальных данных.
