Trojan Android mới 'Herodotus' qua mặt hệ thống chống gian lận như con người

[Starlink]

Các nhà nghiên cứu an ninh mạng đã tiết lộ thông tin chi tiết về một loại trojan ngân hàng Android mới có tên Herodotus được phát hiện trong các chiến dịch nhắm vào Ý và Brazil để thực hiện các cuộc tấn công chiếm quyền điều khiển thiết bị (DTO).

"Herodotus được thiết kế để chiếm quyền điều khiển thiết bị trong khi thực hiện những nỗ lực đầu tiên nhằm mô phỏng hành vi của con người và vượt qua khả năng phát hiện sinh trắc học hành vi", ThreatFabric cho biết trong báo cáo chia sẻ với The Hacker News.

Công ty bảo mật Hà Lan cho biết Trojan này lần đầu tiên được quảng cáo trên các diễn đàn ngầm vào ngày 7 tháng 9 năm 2025, như một phần của mô hình phần mềm độc hại dưới dạng dịch vụ (MaaS), quảng cáo khả năng chạy trên các thiết bị chạy Android phiên bản 9 đến 16.

Người ta đánh giá rằng mặc dù phần mềm độc hại này không phải là một phiên bản tiến hóa trực tiếp của một phần mềm độc hại ngân hàng khác được gọi là Brokewell, nhưng nó chắc chắn đã kết hợp một số thành phần của Brokewell để tạo nên biến thể mới. Điều này bao gồm những điểm tương đồng trong kỹ thuật che giấu được sử dụng, cũng như việc đề cập trực tiếp đến Brokewell trong Herodotus (ví dụ: "BRKWL_JAVA").

Herodotus cũng là phần mềm độc hại Android mới nhất trong danh sách dài các phần mềm độc hại lợi dụng dịch vụ trợ năng để đạt được mục đích. Được phát tán thông qua các ứng dụng dropper giả mạo Google Chrome (tên gói "com.cd3.app") thông qua lừa đảo qua tin nhắn SMS hoặc các thủ đoạn kỹ thuật xã hội khác, chương trình độc hại này lợi dụng tính năng trợ năng để tương tác với màn hình, tạo màn hình phủ mờ để che giấu hoạt động độc hại và thực hiện hành vi đánh cắp thông tin đăng nhập bằng cách hiển thị màn hình đăng nhập giả mạo trên các ứng dụng tài chính.

Ngoài ra, nó còn có thể đánh cắp mã xác thực hai yếu tố (2FA) được gửi qua SMS, chặn mọi thứ hiển thị trên màn hình, cấp cho chính nó các quyền bổ sung khi cần thiết, lấy mã PIN hoặc hình vẽ màn hình khóa và cài đặt các tệp APK từ xa.

Nhưng điểm nổi bật của phần mềm độc hại mới này nằm ở khả năng "nhân bản hóa" hành vi gian lận và né tránh các biện pháp phát hiện dựa trên thời gian. Cụ thể, nó bao gồm tùy chọn tạo độ trễ ngẫu nhiên khi thực hiện các hành động từ xa như nhập văn bản trên thiết bị. ThreatFabric cho biết, đây là một nỗ lực của kẻ tấn công nhằm làm cho thông tin đầu vào trông giống như được nhập bởi người dùng thực sự.

"Độ trễ được chỉ định nằm trong khoảng 300 – 3000 mili giây (0,3 - 3 giây)", báo cáo giải thích. "Việc ngẫu nhiên hóa độ trễ giữa các sự kiện nhập văn bản như vậy phù hợp với cách người dùng nhập văn bản. Bằng cách chủ động trì hoãn việc nhập văn bản theo các khoảng thời gian ngẫu nhiên, kẻ tấn công có thể đang cố gắng tránh bị phát hiện bởi các giải pháp chống gian lận chỉ dựa trên hành vi, vốn có tốc độ nhập văn bản nhanh như máy móc."

ThreatFabric cho biết họ cũng thu được các trang phủ được Herodotus sử dụng để nhắm mục tiêu vào các tổ chức tài chính ở Hoa Kỳ, Thổ Nhĩ Kỳ, Vương quốc Anh và Ba Lan, cùng với các ví và sàn giao dịch tiền điện tử, cho thấy các nhà điều hành đang cố gắng mở rộng phạm vi hoạt động của mình.

Công ty lưu ý rằng "Nó đang được phát triển tích cực, sử dụng các kỹ thuật từ lâu đã liên quan đến Trojan ngân hàng Brokewell và có vẻ như được xây dựng có mục đích để tồn tại trong các phiên trực tiếp thay vì chỉ đánh cắp thông tin đăng nhập tĩnh và tập trung vào việc chiếm đoạt tài khoản".

Những phát hiện này được đưa ra sau khi CYFIRMA công bố chi tiết về một phần mềm độc hại Android tiên tiến có tên GhostGrab, có khả năng thu thập thông tin đăng nhập ngân hàng một cách có hệ thống, đồng thời bí mật khai thác tiền điện tử Monero trên các thiết bị bị nhiễm, tạo ra "nguồn thu kép" cho kẻ tấn công. Chiến dịch này dường như nhắm vào người dùng Android tại Ấn Độ.

Ứng dụng dropper, giả mạo một ứng dụng tài chính, yêu cầu quyền REQUEST_INSTALL_PACKAGES để tạo điều kiện cài đặt thêm APK trong ứng dụng mà không cần sử dụng Cửa hàng Google Play. Phần mềm độc hại chính được cài đặt trên thiết bị yêu cầu một bộ quyền rủi ro cao để cho phép chuyển tiếp cuộc gọi, đánh cắp dữ liệu SMS và cung cấp các trang WebView giả mạo mô phỏng biểu mẫu KYC để thu thập thông tin cá nhân, bao gồm chi tiết thẻ, mã PIN ATM bốn chữ số và ID chính phủ như số Aadhaar.

"GhostGrab hoạt động như một mối đe dọa lai, kết hợp các hoạt động khai thác tiền điện tử bí mật với khả năng đánh cắp dữ liệu toàn diện", công ty cho biết. "Nó được thiết kế để thu thập một cách có hệ thống thông tin tài chính nhạy cảm, bao gồm thông tin đăng nhập ngân hàng, chi tiết thẻ ghi nợ và mật khẩu dùng một lần (OTP) thông qua việc chặn tin nhắn SMS."