Зловмисне програмне забезпечення Herodotus для Android підроблює введення, щоб уникнути виявлення – як захистити себе

Herodotus — це нещодавно виявлена ​​шкідлива програма для Android, яка активно розробляється та пропонується як шкідливе програмне забезпечення як послуга (MaaS). Цей троян використовує оманливі методи, щоб обдурити користувачів і системи безпеки, щоб уникнути виявлення та забезпечити стійкість. Дізнайтеся, як зловмисне програмне забезпечення Herodotus може заразити ваш пристрій і як захистити себе.

Зміст

• Як працює зловмисне програмне забезпечення Herodotus
• Запобігання проникненню шкідливих програм Herodotus
• Виявлення наявності шкідливих програм Herodotus
• Що робити, якщо ваш телефон заразився

Herodotus створено з нуля, але включає в себе функції горезвісного шкідливого програмного забезпечення Brokewell на додаток до власної складної тактики. Він в основному поширюється через SMiShing і шкідливі веб-сторінки, які пропонують вам завантажити програму збоку.

Після інсталяції він негайно пропонує вам увімкнути службу доступності та переносить вас безпосередньо до налаштувань. Щойно ви вмикаєте службу доступності, на ній відображається підроблена накладка з написом «завантаження» або «перевірка». За оверлеєм він виконує всі зловмисні дії, головною метою яких є спорожнення банківських рахунків.

Спочатку він сканує систему, щоб дізнатися про всі встановлені програми та ввімкнені функції, і надсилає інформацію на сервер C2. Після цього він отримує спеціальні інструкціївідкриті програми, всприймайте 2FA SMS, заповнюйте поля та виконуйте дії за допомогою дотиків і свайпів.

Цікаво, що він також вводить текст у поля, використовуючи випадкові паузи від 0,3 до 3 секунд, щоб імітувати введення тексту людиною. Це робиться для того, щоб уникнути програм, які використовують поля введення з визначенням поведінки, або програм безпеки, які відстежують поведінку введення. Оскільки він доступний як зловмисне програмне забезпечення як послуга, будь-хто може придбати та використовувати його. Насправді вже зафіксовано 7 окремих виконавців цієї шкідливої ​​програми.

Запобігання проникненню шкідливих програм Herodotus

Запобігання проникненню цього шкідливого програмного забезпечення має бути вашим першочерговим завданням. Будучи банківським трояном, його основний метод входу полягає в тому, щоб переконати вас встановити його, діючи як важлива програма. Ви повинні бути дуже обережними з посиланнями в SMS або підказках браузера, які пропонують завантажити програму. Це може бути програма безпеки або навіть підказка оновити браузер.

Жодне офіційне джерело не проситиме вас завантажувати програму збоку, і оновлення не потребують жодного завантаження збоку. Завжди завантажуйте програми з магазину Google Play або інших авторитетних магазинів. Це особливо важливо, якщо це непроханий запит нізвідки.

Якщо ви все-таки встановите таку програму, запит на ввімкнення небезпечної служби доступності стане явним червоним прапорцем, щоб відмовитися. Ця служба дозволяє програмі переглядати вміст екрана та взаємодіяти з ним, дозволяючи хакерам отримати повний контроль.

Ви також повинні переконатися, що Play Protect увімкнено в магазині Google Play, оскільки він автоматично виявить такі шкідливі програми та вимкне їх або запропонує вам це зробити. У магазині Play торкнітьсяPlay Protectу головному меню та переконайтеся, що його ввімкнено.

Виявлення наявності шкідливих програм Herodotus

Його розширений доступ і здатність запобігати відстеженню поведінки ускладнять виявлення для більшості програм безпеки. Якщо ви вважаєте, що ваш телефон Android заражений, ви можете знайти загальні ознаки, пов’язані з атаками зловмисного програмного забезпечення Herodotus. Нижче ми наводимо чіткі червоні прапорці:

• Несподіване завантаження або перевірка накладень:це найбільш очевидна поведінка більшості троянів. Вони показують підроблену накладку, щоб виконувати свою роботу позаду, не дізнаючись про це користувача. Якщо ви бачите несподіваний повноекранний запит із проханням зачекати, то це вагомий знак. Це особливо непокоїть, коли ви відкриваєте конфіденційну програму, як-от банківську.
• Незнайомі програми з дозволами доступності:лише найбільш надійні програми повинні мати дозволи на доступність. Перейти доНалаштування → Спеціальні можливості → Завантажені програмищоб переконатися, що в списку немає незнайомих програм.

• Незвичайна SMS-активність:Зловмисне програмне забезпечення Herodotus також може перехоплювати 2FA SMS. Якщо ви починаєте отримувати 2FA SMS або у вашій папці "Вхідні" є кілька 2FA SMS без вашого відома, можливо, ваш пристрій заражено.
• Різке використання ресурсів:щоб керувати телефоном, він виконує багато завдань, які споживають ресурси телефону, наприклад акумулятор або мережу. Якщо ви помітили, що ваш телефон раптово сповільнюється або акумулятор розряджається занадто швидко, перейдіть доНалаштування→Акумуляторі подивіться, чи невідома програма витрачає занадто багато акумулятора.

Детальніше:Нова шпигунська програма LunaSpy націлена на користувачів Android – як захистити себе

Що робити, якщо ваш телефон заразився

Переконавшись, що ваш телефон заражений, негайно переведіть його в режим польоту та виконайте такі дії:

Видаліть програму

Видалити шкідливу програму є вашим пріоритетом, щоб уникнути подальшої шкоди. Однак це, мабуть, буде нелегко, оскільки програма має доступ до підвищених дозволів. Якщо звичайний метод видалення не працює, перейдіть до налаштувань доступності, як ми робили вище, і видаліть його доступ.

Ви також повинні відвідатиНалаштування→Захист конфіденційності→Спеціальні дозволи. Тут переконайтеся, що додаток не маєАдміністратор пристроюабоВідображення поверх інших програмдозволи. Ви також можете перейти в безпечний режим Android і видалити програму звідти.

Безпечні онлайн-акаунти

З іншого чистого пристрою скиньте паролі облікових записів, які використовуються на зараженому пристрої, особливо банківських рахунків. Якщо підтримується, використовуйте програму автентифікації для 2FA, а також скасуйте всі активні сеанси за допомогою сторінки безпеки облікового запису служб. Якщо ви виявите будь-які підозрілі перекази коштів, негайно повідомте свій банк.

Скануйте свій телефон, щоб переконатися, що він безпечний

Після видалення зараженої програми вам слід запустити перевірку безпеки, щоб переконатися, що не залишилося бекдорів або шкідливих програм. По-перше, відкритиPlay Protectу магазині Google Play, як ми робили вище, і запустіть сканування. Після цього завантажте надійний антивірус, наприкладщоб запустити повне сканування системи.

Щоб гарантувати видалення зловмисного програмного забезпечення Herodotus, ви також можете створити резервну копію своїх даних і скинути заводські налаштування телефону.

Цієї та багатьох інших загроз зловмисного програмного забезпечення можна уникнути, завантажуючи програми лише з Google Play Store, а не завантажуючи їх збоку. Однак навіть програми в Play Store можуть бути заражені, тому вам слід увімкнути всі функції безпеки Android для найкращого захисту.