ThreatFabricin paljastama Herodotus on Android-pankkitroijalainen, joka matkii ihmisen kosketuksia, ohittaa 2FA:n ja väärinkäyttää käyttöavustusta. Lue lisää.
© RusPhotoBank
ThreatFabricin tutkijat ovat tunnistaneet uuden Android-pankkitroijalaisen, joka kulkee nimellä Herodotus. Se turvautuu poikkeukselliseen taktiikkaan: haittaohjelma jäljittelee aitoa käyttäytymistä, lisää satunnaisia taukoja napautusten väliin ja matkii pyyhkäisyjä sekä kosketuksia, jotta valvontajärjestelmät tulkitsisivat sen toiminnot ihmisen tekemiksi.
Muuten Herodotus nojaa tuttuun kaavaan. Se rakentaa väärennettyjä kirjautumisnäkymiä, sieppaa 2FA-tekstiviestejä ja käyttää käyttöavustusoikeuksia väärin. Toimintaansa se peittää peiteikkunoilla, seuraa mitä sovelluksia on käynnissä ja välittää listan komentopalvelimelle, joka voi oikealla hetkellä laukaista valeliittymän ja kalastella tiedot. Troijalaista on hyödynnetty kampanjoissa Italiassa (Banca Sicura -nimen alla) ja Brasiliassa (Modulo Seguranca Stone).
Mikä erottaa Herodotuksen muista, on sen automaation inhimillisyys: syötteiden rytmi ja nopeus näyttävät vakuuttavan aidoilta, mikä hankaloittaa torjuntaa työkaluilta, jotka tarkkailevat juuri näitä signaaleja. Asiantuntijat varoittavat, että rutiinisuojaukset voivat pettää. Silti käytännön ohje pysyy: vältä sovelluksia epäluotettavista lähteistä, älä avaa epäilyttäviä linkkejä ja hyödynnä Androidin omia suojauksia, kuten Google Play Protectia. Kehityssuunta on huomiota herättävä — kun peruseleitä voidaan jo jäljitellä uskottavasti, kurinalaiset käyttötavat ja alustatason turva nousevat entistä tärkeämmiksi.