تروجان بانکی اندروید Herodotus؛ تهدیدی جدید که کنترل کامل دستگاه‌ها را در دست می‌گیرد

در هفته‌های اخیر، تهدید جدید و پیچیده‌ای در دنیای بانکداری موبایلی شناسایی شده است. تروجان بانکی Herodotus با بهره‌گیری از مدل Malware-as-a-Service (MaaS) به یکی از خطرناک‌ترین بدافزارهای اندرویدی تبدیل شده که به‌صورت گسترده در حال سرقت اطلاعات مالی کاربران است.

این بدافزار با ترکیب مهندسی اجتماعی، جعل رابط کاربری، و پنهان‌سازی هوشمندانه رفتارها، از دید بسیاری از آنتی‌ویروس‌های سنتی پنهان می‌ماند و کنترل کامل دستگاه را در اختیار می‌گیرد.

 نحوه عملکرد بدافزار Herodotus

 فیشینگ از طریق پیامک (Smishing)

کمپین‌های حمله Herodotus از طریق پیامک‌های جعلی (SMS Phishing) انجام می‌شود. این پیام‌ها خود را به‌عنوان اطلاعیه‌های بانکی، هشدار امنیتی یا پیام‌های خدماتی معرفی می‌کنند.

کاربران ناآگاه با کلیک روی لینک موجود در پیام، وارد صفحه‌ای جعلی می‌شوند که از آن‌ها می‌خواهد فایل APK را دانلود و نصب کنند.
این فرآیند نصب خارج از فروشگاه رسمی گوگل پلی انجام می‌شود، که خود نشانه‌ای از خطر است اما توسط بسیاری از سامانه‌های امنیتی سنتی شناسایی نمی‌شود.

 مجوزهای خطرناک و دسترسی سطح بالا

پس از نصب، Herodotus بلافاصله درخواست مجموعه‌ای از مجوزهای حساس مانند Accessibility Permission را صادر می‌کند.
این سطح از دسترسی به بدافزار اجازه می‌دهد تا صفحه‌های جعلی را روی اپلیکیشن‌های بانکی واقعی قرار دهد، داده‌های نمایش‌داده‌شده روی صفحه را ضبط کرده و حتی کلیدهای فشرده‌شده توسط کاربر را ذخیره کند.

با این دسترسی، بدافزار قادر است حملات Session Hijacking را اجرا کند و بدون اطلاع کاربر، تراکنش‌های بانکی را در زمان واقعی انجام دهد.

 رفتارهای شبه‌انسانی برای فریب سامانه‌های امنیتی

برای دور زدن مکانیزم‌های ضدتقلب و سامانه‌های تشخیص خودکار، Herodotus از الگوهای رفتاری “انسانی” استفاده می‌کند.
این رفتارها شامل:

• تأخیرهای تصادفی بین لمس‌ها

• حرکات طبیعی نشانگر لمسی

• شبیه‌سازی تایپ انسانی

این روش‌ها باعث می‌شود فعالیت بدافزار مشابه تعاملات واقعی کاربر به نظر برسد و ردپای خودکار یا رباتیک از خود بر جای نگذارد — مسئله‌ای که باعث می‌شود بسیاری از آنتی‌ویروس‌ها نتوانند آن را تشخیص دهند.

 چرا آنتی‌ویروس به‌تنهایی کافی نیست

تحقیقات انجام‌شده توسط تیم امنیتی Pradeo نشان داد که حتی یکی از آنتی‌ویروس‌های معروف موفق به شناسایی فایل آلوده Herodotus نشده است.
دلیل اصلی این ناکارآمدی در نحوه‌ی عملکرد آنتی‌ویروس‌ها نهفته است — آن‌ها عموماً بر پایه‌ی امضای دیجیتال (Signature-based) و پایگاه‌داده‌ی رفتارهای شناخته‌شده عمل می‌کنند.

اما تهدیداتی مانند Herodotus که از منابع خارج از Play Store نصب می‌شوند و رفتارهای مخرب خود را پس از اخذ مجوز فعال می‌کنند، به‌سادگی از این نوع محافظت عبور می‌کنند.

برای شناسایی این نوع حملات، باید زنجیره‌ای از شاخص‌های نفوذ (IoC) را کنار هم قرار داد:

• پیامک‌های مشکوک و لینک‌های فیشینگ

• نصب اپلیکیشن از منبع ناشناس

• درخواست مجوزهای غیرمعمول

• نمایش صفحات پوششی (Overlay)

• و شبیه‌سازی تعاملات انسانی

هرکدام از این نشانه‌ها به‌تنهایی ممکن است بی‌خطر به‌نظر برسند، اما در کنار هم، تصویری واضح از یک نفوذ فعال ارائه می‌دهند — چیزی که آنتی‌ویروس‌های معمولی قادر به تشخیص آن نیستند.

 راهکار دفاعی مدرن: Mobile Threat Defense (MTD)

در برابر تهدیدات پیچیده‌ای مانند Herodotus، تنها راه مؤثر استفاده از راهکارهای چند‌لایه و هوشمند دفاعی است.
یکی از این راهکارها، Pradeo Mobile Threat Defense (MTD) است که با تحلیل مداوم رفتار دستگاه، تهدیدات را در هر مرحله از حمله شناسایی و مسدود می‌کند.

ویژگی‌های کلیدی MTD:

• تشخیص و مسدودسازی فیشینگ: لینک‌های فیشینگ در لحظه شناسایی و مسدود می‌شوند.

• نظارت بر نصب از منابع ناشناس: در صورت تلاش برای نصب فایل APK از منبع غیرمجاز، هشدار فوری به تیم امنیت ارسال می‌شود.

• پایش مجوزهای حساس: هر اپلیکیشنی که مجوز Accessibility یا مشابه را درخواست کند، به‌سرعت قرنطینه می‌شود.

• کشف رفتارهای جعلی و شبیه‌سازی‌شده: حرکات مصنوعی، تایپ‌های شبیه‌سازی‌شده و تعاملات خودکار شناسایی و متوقف می‌شوند.

با چنین مکانیزم‌هایی، تهدید قبل از اینکه به مرحله‌ی نفوذ یا سرقت داده برسد، مهار می‌شود.

 نتیجه‌گیری

حمله Herodotus نشان‌دهنده‌ی یک واقعیت مهم در دنیای امنیت موبایل است:
🔸 آنتی‌ویروس به‌تنهایی کافی نیست.
🔸 تهدیدات امروزی ترکیبی از فریب انسانی، نصب خارج از بازار رسمی و سوءاستفاده از مجوزهای سیستمی هستند.

بنابراین، سازمان‌ها برای حفاظت از داده‌های حساس و کاربران خود، باید از راهکارهای Mobile Threat Defense (MTD) و Threat Intelligence استفاده کنند تا لایه‌ای مداوم از نظارت و واکنش خودکار را در سطح دستگاه‌ها و شبکه‌ها فراهم سازند.

در RootNet، ما با تمرکز بر امنیت شبکه، زیرساخت و Endpointها، راهکارهایی برای مقابله با تهدیدات نوظهور در حوزه موبایل و بانکداری دیجیتال ارائه می‌دهیم.