Herodotus, insan davranışını taklit eden Android bankacılık truva atı: sahte giriş, 2FA SMS ele geçirme ve erişilebilirlik suistimaliyle verileri çalıyor.
© RusPhotoBank
ThreatFabric araştırmacıları, Herodotus adlı yeni bir Android bankacılık truva atını tespit etti. Kötü amaçlı yazılım, alışılmadık bir taktikle öne çıkıyor: gerçek kullanıcı davranışını taklit ediyor. Dokunuşlar arasında rastgele duraklamalar bırakıyor, kaydırma ve dokunmaları taklit ederek tespit sistemlerinin bu etkinliği insan gibi yorumlama olasılığını yükseltiyor.
Yine de Herodotus, bankacılık truva atlarının bilinen repertuarına sadık kalıyor: sahte giriş ekranları, 2FA SMS kodlarının ele geçirilmesi ve erişilebilirlik izinlerinin kötüye kullanılması. Üstelik eylemlerini bindirmelerle perdeleyip hangi uygulamaların çalıştığını izliyor ve bu listeyi komut sunucusuna bildiriyor; doğru anda sahte bir arayüzü devreye sokarak verileri çalıyor. Bu truva atını kullanan kampanyalar İtalya’da (Banca Sicura olarak) ve Brezilya’da (Modulo Seguranca Stone olarak) kayda geçti.
Herodotus’u ayıran esas fark, otomatik etkileşimlerinin ikna edici biçimde insansı görünmesi; girdileri hız ve ritim üzerinden izleyen araçlar için tespiti zorlaştırıyor. Uzmanlar, rutin savunmaların yetersiz kalabileceği uyarısında bulunuyor. Pratik öneri ise değişmiyor: güvenilmeyen kaynaklardan uygulama kurmamak, şüpheli bağlantılardan uzak durmak ve Google Play Protect dâhil Android’in yerleşik korumalarına güvenmek. Kedi-fare oyununda yönün nereye döndüğüne dair işaret de net: en temel jestler bile gerçeğe yeterince benzetilebildiğinde, disiplinli kullanıcı alışkanlıkları ve platform düzeyindeki güvenceler her zamankinden önemli hale geliyor.