كشفت شركة Threat Fabric عن عائلة جديدة من البرمجيات الخبيثة على نظام Android تحمل اسم Herodotus، تباع ضمن نموذج Malware-as-a-Service وتستهدف المستخدمين بدوافع مالية. ويعتقد أن مطوريها هم الجهة نفسها التي تقف وراء Brokewell، المعروفة بهجماتها على التطبيقات المصرفية.
تستغل البرمجية الرسائل النصية الاحتيالية لإغراء المستخدمين بالنقر على روابط مزيفة تقود إلى ملف Dropper مخصص يتولى تثبيت الحمولة الخبيثة الأساسية، ويعمل على تجاوز قيود صلاحيات وصول في إصدارات Android 13 وما بعدها. وخلال عملية التثبيت، يعرض التطبيق شاشة تحميل وهمية تخفي إجراءات منح الصلاحيات الحساسة في الخلفية.
وبمجرد حصولها على تلك الصلاحيات، تصبح Herodotus قادرة على التفاعل مع واجهة المستخدم مباشرة، مثل النقر على نقاط معينة في الشاشة، أو السحب، أو الرجوع، أو إدخال النصوص سواء بالكتابة أو عبر الحافظة. إلا أن هذه الأفعال التلقائية غالباً ما تكتشف بسهولة بسبب نمطها الزمني السريع الذي يختلف عن سلوك المستخدم البشري، ما يدفع أنظمة الحماية لاكتشافها.
لمعالجة ذلك، أضاف مطورو Herodotus آلية أطلقوا عليها اسم Humanizer، تعتمد على تأخير عشوائي يتراوح بين 0.3 و3 ثوانٍ أثناء إدخال النصوص، لتبدو وكأنها كتابة بشرية طبيعية، ما يقلل فرص رصدها. ووفقاً لـ Threat Fabric، تعد هذه الطريقة الأولى من نوعها في برمجيات Android الخبيثة، إذ لم يستخدم التأخير الزمني سابقاً إلا لتحسين تجاوب الواجهة وليس لتضليل أنظمة الكشف.
إلى جانب هذه التقنية، توفر Herodotus لمشغليها لوحة تحكم تتضمن أدوات واسعة مثل إنشاء نصوص مخصصة للرسائل، وصفحات مقلدة لتطبيقات المصارف والعملات الرقمية لسرقة بيانات الدخول، وطبقات Overlay غير شفافة لإخفاء أنشطة الاحتيال، إضافة إلى أدوات سرقة الرسائل لاعتراض رموز المصادقة الثنائية وقدرات تصوير الشاشة.
وأكدت Threat Fabric أن رصد 7 نطاقات فرعية مختلفة يشير إلى أن البرمجية باتت تستخدم فعلياً من قبل جهات تهديد متعددة. ونصحت الشركة مستخدمي Android بتجنب تنزيل ملفات APK من خارج Google Play إلا عند الوثوق الكامل بالمصدر، مع تفعيل خدمة Play Protect ومراجعة صلاحيات التطبيقات الجديدة بانتظام خصوصاً صلاحيات الوصول، للحد من فرص الاختراق.
