Herodotus on äskettäin löydetty Android-haittaohjelma, jota kehitetään aktiivisesti ja tarjotaan malware-as-a-service (MaaS) -palveluna. Tämä troijalainen käyttää petollisia tekniikoita huijatakseen käyttäjiä ja turvajärjestelmiä välttääkseen havaitsemisen ja varmistaakseen pysyvyyden. Opi kuinka Herodotus-haittaohjelmat voivat saastuttaa laitteesi ja kuinka pysyä turvassa.
Sisällysluettelo
- Kuinka Herodotus-haittaohjelma toimii
- Estä Herodotus-haittaohjelmien pääsy
- Tunnista Herodotus-haittaohjelmien esiintyminen
- Mitä tehdä, jos puhelimesi saa tartunnan
Kuinka Herodotus-haittaohjelma toimii
Herodotus on rakennettu tyhjästä, mutta se sisältää pahamaineisen Brokewell-haittaohjelman toimintoja oman hienostuneen taktiikkansa lisäksi. Sitä jaetaan pääasiassa SMiShingin ja haitallisten verkkosivujen kautta, jotka kehottavat lataamaan sovelluksen sivulta.
Kun se on asennettu, se kehottaa sinua heti ottamaan käyttöön esteettömyyspalvelun ja vie sinut suoraan asetuksiin. Heti kun otat esteettömyyspalvelun käyttöön, se näyttää väärennetyn peittokuvan, jossa lukee "lataus" tai "vahvistus". Peittokuvan takana se suorittaa kaikki haitalliset teot päätavoitteenaan tyhjentää pankkitilit.
Ensin se skannaa järjestelmän saadakseen tietoa kaikista asennetuista sovelluksista ja käytössä olevista ominaisuuksista, ja lähettää tiedot C2-palvelimelle. Myöhemmin se saa mukautetut ohjeetavaa sovellukset, sisäänvastaanottaa 2FA-tekstiviestejä, täyttää kentät ja suorittaa toimintoja napauttamalla ja pyyhkäisemällä.
Mielenkiintoista on, että se myös syöttää tekstiä kenttiin käyttämällä satunnaisia 0,3–3 sekunnin taukoja jäljittelemään ihmisen kirjoittamista. Se tekee tämän kiertääkseen sovelluksia, jotka käyttävät käyttäytymisen havaitsemisen syöttökenttiä tai tietoturvasovelluksia, jotka seuraavat syöttökäyttäytymistä. Koska se on saatavilla haittaohjelmana palveluna, kuka tahansa voi ostaa ja käyttää sitä. Itse asiassa tälle haittaohjelmalle on jo tallennettu yhteensä 7 erillistä toteuttajaa.
Tämän haittaohjelman pääsyn estäminen tulee olla ensisijainen tehtäväsi. Pankkitroijalaisena sen tärkein pääsytapa on saada sinut asentamaan se toimimalla tärkeänä sovelluksena. Sinun tulee olla erittäin varovainen tekstiviestien tai selaimen kehotteiden linkkien suhteen, jotka pyytävät sinua lataamaan sovelluksen. Se voi olla tietoturvasovellus tai jopa kehote päivittää selain.
Lisätietoja:Uusi BYOVD-hyökkäys voi kiertää Microsoft Defenderin ja asentaa kiristysohjelmia – Kuinka suojautua
Mikään virallinen lähde ei pyydä sinua lataamaan sovellusta sivulta, eivätkä päivitykset myöskään vaadi minkäänlaista sivulatausta. Lataa sovelluksia aina Google Play Kaupasta tai muista hyvämaineisista kaupoista. Tämä on erityisen tärkeää, jos se on pyytämätön pyyntö tyhjästä.
Jos päädyt asentamaan tällaisen sovelluksen, vaarallisen esteettömyyspalvelun käyttöönottopyyntö on selkeä punainen lippu perääntymiseen. Tämän palvelun avulla sovellus voi tarkastella näytön sisältöä ja olla vuorovaikutuksessa sen kanssa, jolloin hakkerit saavat täydellisen hallinnan.
Sinun tulee myös varmistaa, että Play Protect on käytössä Google Play Kaupassa, koska se havaitsee automaattisesti tällaiset haitalliset sovellukset ja poistaa ne käytöstä tai kehottaa sinua tekemään niin. Napauta Play KaupassaPelaa Protectiapäävalikossa ja varmista, että se on käytössä.
Tunnista Herodotus-haittaohjelmien esiintyminen
Sen parannettu pääsy ja kyky estää käyttäytymisen seuranta vaikeuttaa useimpien tietoturvaohjelmistojen havaitsemista. Jos uskot, että Android-puhelimesi on saastunut, voit etsiä yleisiä merkkejä, jotka liittyvät Herodotus-haittaohjelmahyökkäyksiin. Alla luetellaan selkeät punaiset liput:
- Odottamaton lataus tai peittokuvien tarkistaminen:tämä on useimpien troijalaisten ilmeisin käyttäytyminen. Ne näyttävät väärennetyn peittokuvan tehdäkseen työnsä takana ilman, että käyttäjä huomaa. Jos näet odottamattoman koko näytön kehotteen, se on vahva merkki. Tämä on erityisen huolestuttavaa, kun se tapahtuu, kun avaat arkaluonteisen sovelluksen, kuten pankkisovelluksen.
- Tuntemattomat sovellukset, joilla on esteettömyysoikeudet:vain luotettavimmilla sovelluksilla pitäisi olla esteettömyysoikeudet. Siirry osoitteeseenAsetukset → Esteettömyys → Ladatut sovelluksetvarmistaaksesi, ettei luettelossa ole tuntemattomia sovelluksia.
- Epätavallinen tekstiviestitoiminta:Herodotus-haittaohjelmat voivat myös siepata 2FA-tekstiviestejä. Jos alat vastaanottaa 2FA-tekstiviestejä tai jos postilaatikossasi on useita 2FA-tekstiviestejä tietämättäsi, laitteesi saattaa saada tartunnan.
- Piikki resurssien käytössä:hallita puhelinta, se suorittaa monia töitä, jotka kuluttavat puhelimen resursseja, kuten akkua tai verkkoa. Jos huomaat puhelimesi äkillisesti hidastuvan tai akun tyhjenevän liian nopeasti, siirry kohtaanAsetukset→Akkuja katso, kuluttaako tuntematon sovellus liikaa akkua.
Mitä tehdä, jos puhelimesi saa tartunnan
Kun olet varmistanut, että puhelimesi on saanut tartunnan, aseta se välittömästi lentokonetilaan ja noudata näitä ohjeita:
Poista sovellus
Haitallisen sovelluksen asennuksen poistaminen on ensisijainen tehtäväsi välttääksesi lisävahingot. Se ei kuitenkaan todennäköisesti ole helppoa, jos sovelluksella on pääsy korotettuihin käyttöoikeuksiin. Jos tavallinen asennuksen poistotapa ei toimi, siirry esteettömyysasetuksiin kuten teimme yllä ja poista sen käyttöoikeus.
Kannattaa myös käydäAsetukset→Yksityisyyden suoja→Erityisluvat. Varmista tässä, että sovelluksessa ei oleLaitteen järjestelmänvalvojataiNäytä muiden sovellusten päälläluvat. Voit myös siirtyä Androidin vikasietotilaan ja poistaa sovelluksen sieltä.
Suojatut online-tilit
Palauta tartunnan saaneella laitteella käytettyjen tilien, erityisesti pankkitilien, salasanat toisesta puhtaasta laitteesta. Jos tuettu, käytä todennussovellusta 2FA:lle ja peruuta myös kaikki aktiiviset istunnot käyttämällä palvelujen tilin suojaussivua. Jos huomaat epäilyttäviä rahansiirtoja, ilmoita välittömästi pankkillesi.
Tarkista puhelimesi varmistaaksesi sen turvallisuuden
Kun tartunnan saanut sovellus on poistettu, sinun tulee suorittaa suojaustarkistus varmistaaksesi, ettei takaovia tai haitallisia sovelluksia ole jäljellä. Ensin aukiPelaa ProtectiaGoogle Play Kaupassa, kuten teimme yllä, ja suorita skannaus. Lataa sen jälkeen hyvämaineinen virustorjunta, kutensuorittaaksesi täyden järjestelmän tarkistuksen.
Herodotus-haittaohjelmien poistamisen takaamiseksi voit myös varmuuskopioida tietosi ja palauttaa puhelimesi tehdasasetukset.
Tämä ja monet muut haittaohjelmauhat voidaan välttää lataamalla sovelluksia vain Google Play Kaupasta, ei sivulatauksella. Kuitenkin jopa Play Kaupan sovellukset voivat saada tartunnan, joten sinun tulee ottaa käyttöön kaikki Android-suojausominaisuudet parhaan suojan saavuttamiseksi.
