Herodotus: มัลแวร์ Android ยุคใหม่ที่พิมพ์เหมือนมนุษย์ หลอกระบบตรวจจับพฤติกรรมได้แนบเนียน
Trojan ตัวใหม่ชื่อว่า Herodotus ถูกค้นพบโดย ThreatFabric ซึ่งเป็นมัลแวร์ Android ที่ออกแบบมาเพื่อหลอกระบบตรวจจับพฤติกรรมผู้ใช้ (behavioral biometrics) โดยใช้เทคนิค “พิมพ์แบบมนุษย์” เพื่อหลบเลี่ยงการตรวจจับจากระบบป้องกันการฉ้อโกงที่ทันสมัย
จุดเด่นของ Herodotus ที่ทำให้มันอันตราย
พฤติกรรมการพิมพ์แบบมนุษย์
มัลแวร์จะแยกข้อความออกเป็นตัวอักษร แล้วใส่ ดีเลย์แบบสุ่ม ระหว่าง 300–3000 มิลลิวินาที เพื่อให้ดูเหมือนผู้ใช้จริงกำลังพิมพ์
เทคนิคนี้ช่วยหลอกระบบตรวจจับพฤติกรรมที่ใช้ความเร็วและจังหวะการพิมพ์เป็นเกณฑ์
การควบคุมอุปกรณ์จากระยะไกล
ผู้โจมตีสามารถคลิก, ปัดหน้าจอ, พิมพ์ข้อความ และสั่งงานระดับระบบ เช่น “Back” หรือ “Home” ได้
ใช้ overlay ปลอมที่แสดงข้อความเช่น “กรุณารอสักครู่ ระบบธนาคารกำลังตรวจสอบข้อมูล…” เพื่อหลอกผู้ใช้ขณะโจมตี
เทคนิคการแพร่กระจายที่แนบเนียน
ใช้ SMiShing (SMS phishing) และ side-loading เพื่อหลอกให้ผู้ใช้ติดตั้ง dropper
Dropper จะติดตั้ง payload โดยใช้หน้าจอปลอมที่ดูเหมือนกำลังโหลด เพื่อขอสิทธิ์ Accessibility โดยไม่ให้ผู้ใช้สงสัย
โครงสร้างมัลแวร์แบบ modular และมีการพัฒนาอย่างต่อเนื่อง
มีการใช้โค้ดบางส่วนจาก Brokewell Trojan เช่น string ‘BRKWL_JAVA’
ผู้พัฒนาใช้ชื่อ “K1R0” และเริ่มเปิดให้เช่าแบบ Malware-as-a-Service แล้ว
เป้าหมายการโจมตีขยายทั่วโลก
เริ่มจากอิตาลีและบราซิล โดยใช้ชื่อปลอมเช่น “Banca Sicura” และ “Modulo Seguranca Stone”
มี template overlay สำหรับธนาคารในสหรัฐฯ, ตุรกี, อังกฤษ, โปแลนด์ และแพลตฟอร์มคริปโต
ระบบตรวจจับพฤติกรรมอาจไม่เพียงพออีกต่อไป
Herodotus สามารถหลอกระบบที่ใช้ input timing ได้อย่างแนบเนียน
การพึ่งพา behavioral biometrics เพียงอย่างเดียวอาจทำให้เกิด false negative
การให้สิทธิ์ Accessibility โดยไม่รู้ตัวคือช่องโหว่ใหญ่
หน้าจอปลอมสามารถหลอกให้ผู้ใช้อนุญาตสิทธิ์ที่อันตราย
Accessibility Services เปิดทางให้มัลแวร์ควบคุมอุปกรณ์ได้เต็มรูปแบบ
มัลแวร์แบบเช่า (MaaS) จะทำให้การโจมตีแพร่หลายมากขึ้น
ผู้โจมตีไม่ต้องมีทักษะสูงก็สามารถใช้ Herodotus ได้
องค์กรต้องเตรียมระบบตรวจจับที่หลากหลายมากขึ้น เช่น AI-based anomaly detection
https://securityonline.info/next-gen-android-trojan-herodotus-mimics-human-typing-to-bypass-behavioral-biometrics-anti-fraud-systems/
Trojan ตัวใหม่ชื่อว่า Herodotus ถูกค้นพบโดย ThreatFabric ซึ่งเป็นมัลแวร์ Android ที่ออกแบบมาเพื่อหลอกระบบตรวจจับพฤติกรรมผู้ใช้ (behavioral biometrics) โดยใช้เทคนิค “พิมพ์แบบมนุษย์” เพื่อหลบเลี่ยงการตรวจจับจากระบบป้องกันการฉ้อโกงที่ทันสมัย
จุดเด่นของ Herodotus ที่ทำให้มันอันตราย
พฤติกรรมการพิมพ์แบบมนุษย์
มัลแวร์จะแยกข้อความออกเป็นตัวอักษร แล้วใส่ ดีเลย์แบบสุ่ม ระหว่าง 300–3000 มิลลิวินาที เพื่อให้ดูเหมือนผู้ใช้จริงกำลังพิมพ์
เทคนิคนี้ช่วยหลอกระบบตรวจจับพฤติกรรมที่ใช้ความเร็วและจังหวะการพิมพ์เป็นเกณฑ์
การควบคุมอุปกรณ์จากระยะไกล
ผู้โจมตีสามารถคลิก, ปัดหน้าจอ, พิมพ์ข้อความ และสั่งงานระดับระบบ เช่น “Back” หรือ “Home” ได้
ใช้ overlay ปลอมที่แสดงข้อความเช่น “กรุณารอสักครู่ ระบบธนาคารกำลังตรวจสอบข้อมูล…” เพื่อหลอกผู้ใช้ขณะโจมตี
เทคนิคการแพร่กระจายที่แนบเนียน
ใช้ SMiShing (SMS phishing) และ side-loading เพื่อหลอกให้ผู้ใช้ติดตั้ง dropper
Dropper จะติดตั้ง payload โดยใช้หน้าจอปลอมที่ดูเหมือนกำลังโหลด เพื่อขอสิทธิ์ Accessibility โดยไม่ให้ผู้ใช้สงสัย
โครงสร้างมัลแวร์แบบ modular และมีการพัฒนาอย่างต่อเนื่อง
มีการใช้โค้ดบางส่วนจาก Brokewell Trojan เช่น string ‘BRKWL_JAVA’
ผู้พัฒนาใช้ชื่อ “K1R0” และเริ่มเปิดให้เช่าแบบ Malware-as-a-Service แล้ว
เป้าหมายการโจมตีขยายทั่วโลก
เริ่มจากอิตาลีและบราซิล โดยใช้ชื่อปลอมเช่น “Banca Sicura” และ “Modulo Seguranca Stone”
มี template overlay สำหรับธนาคารในสหรัฐฯ, ตุรกี, อังกฤษ, โปแลนด์ และแพลตฟอร์มคริปโต
ระบบตรวจจับพฤติกรรมอาจไม่เพียงพออีกต่อไป
Herodotus สามารถหลอกระบบที่ใช้ input timing ได้อย่างแนบเนียน
การพึ่งพา behavioral biometrics เพียงอย่างเดียวอาจทำให้เกิด false negative
การให้สิทธิ์ Accessibility โดยไม่รู้ตัวคือช่องโหว่ใหญ่
หน้าจอปลอมสามารถหลอกให้ผู้ใช้อนุญาตสิทธิ์ที่อันตราย
Accessibility Services เปิดทางให้มัลแวร์ควบคุมอุปกรณ์ได้เต็มรูปแบบ
มัลแวร์แบบเช่า (MaaS) จะทำให้การโจมตีแพร่หลายมากขึ้น
ผู้โจมตีไม่ต้องมีทักษะสูงก็สามารถใช้ Herodotus ได้
องค์กรต้องเตรียมระบบตรวจจับที่หลากหลายมากขึ้น เช่น AI-based anomaly detection
https://securityonline.info/next-gen-android-trojan-herodotus-mimics-human-typing-to-bypass-behavioral-biometrics-anti-fraud-systems/
📱🧠 Herodotus: มัลแวร์ Android ยุคใหม่ที่พิมพ์เหมือนมนุษย์ หลอกระบบตรวจจับพฤติกรรมได้แนบเนียน
Trojan ตัวใหม่ชื่อว่า Herodotus ถูกค้นพบโดย ThreatFabric ซึ่งเป็นมัลแวร์ Android ที่ออกแบบมาเพื่อหลอกระบบตรวจจับพฤติกรรมผู้ใช้ (behavioral biometrics) โดยใช้เทคนิค “พิมพ์แบบมนุษย์” เพื่อหลบเลี่ยงการตรวจจับจากระบบป้องกันการฉ้อโกงที่ทันสมัย
✅ จุดเด่นของ Herodotus ที่ทำให้มันอันตราย
✅ พฤติกรรมการพิมพ์แบบมนุษย์
➡️ มัลแวร์จะแยกข้อความออกเป็นตัวอักษร แล้วใส่ ดีเลย์แบบสุ่ม ระหว่าง 300–3000 มิลลิวินาที เพื่อให้ดูเหมือนผู้ใช้จริงกำลังพิมพ์
➡️ เทคนิคนี้ช่วยหลอกระบบตรวจจับพฤติกรรมที่ใช้ความเร็วและจังหวะการพิมพ์เป็นเกณฑ์
✅ การควบคุมอุปกรณ์จากระยะไกล
➡️ ผู้โจมตีสามารถคลิก, ปัดหน้าจอ, พิมพ์ข้อความ และสั่งงานระดับระบบ เช่น “Back” หรือ “Home” ได้
➡️ ใช้ overlay ปลอมที่แสดงข้อความเช่น “กรุณารอสักครู่ ระบบธนาคารกำลังตรวจสอบข้อมูล…” เพื่อหลอกผู้ใช้ขณะโจมตี
✅ เทคนิคการแพร่กระจายที่แนบเนียน
➡️ ใช้ SMiShing (SMS phishing) และ side-loading เพื่อหลอกให้ผู้ใช้ติดตั้ง dropper
➡️ Dropper จะติดตั้ง payload โดยใช้หน้าจอปลอมที่ดูเหมือนกำลังโหลด เพื่อขอสิทธิ์ Accessibility โดยไม่ให้ผู้ใช้สงสัย
✅ โครงสร้างมัลแวร์แบบ modular และมีการพัฒนาอย่างต่อเนื่อง
➡️ มีการใช้โค้ดบางส่วนจาก Brokewell Trojan เช่น string ‘BRKWL_JAVA’
➡️ ผู้พัฒนาใช้ชื่อ “K1R0” และเริ่มเปิดให้เช่าแบบ Malware-as-a-Service แล้ว
✅ เป้าหมายการโจมตีขยายทั่วโลก
➡️ เริ่มจากอิตาลีและบราซิล โดยใช้ชื่อปลอมเช่น “Banca Sicura” และ “Modulo Seguranca Stone”
➡️ มี template overlay สำหรับธนาคารในสหรัฐฯ, ตุรกี, อังกฤษ, โปแลนด์ และแพลตฟอร์มคริปโต
‼️ ระบบตรวจจับพฤติกรรมอาจไม่เพียงพออีกต่อไป
⛔ Herodotus สามารถหลอกระบบที่ใช้ input timing ได้อย่างแนบเนียน
⛔ การพึ่งพา behavioral biometrics เพียงอย่างเดียวอาจทำให้เกิด false negative
‼️ การให้สิทธิ์ Accessibility โดยไม่รู้ตัวคือช่องโหว่ใหญ่
⛔ หน้าจอปลอมสามารถหลอกให้ผู้ใช้อนุญาตสิทธิ์ที่อันตราย
⛔ Accessibility Services เปิดทางให้มัลแวร์ควบคุมอุปกรณ์ได้เต็มรูปแบบ
‼️ มัลแวร์แบบเช่า (MaaS) จะทำให้การโจมตีแพร่หลายมากขึ้น
⛔ ผู้โจมตีไม่ต้องมีทักษะสูงก็สามารถใช้ Herodotus ได้
⛔ องค์กรต้องเตรียมระบบตรวจจับที่หลากหลายมากขึ้น เช่น AI-based anomaly detection
https://securityonline.info/next-gen-android-trojan-herodotus-mimics-human-typing-to-bypass-behavioral-biometrics-anti-fraud-systems/
0 Comments
0 Shares
48 Views
0 Reviews
Thai