Android’de insan gibi yazan yeni tehdit: Herodotus
Herodotus Android malware, Android ekosistemini hedef alan yeni bir zararlı yazılım ailesi olarak kimlik bilgilerini çalma, tuş vuruşlarını kaydetme, ekranı gerçek zamanlı yayınlama ve kullanıcı girdisini ele geçirme gibi yetenekleri bir araya getiriyor. Onu ayıran temel taktik, davranışsal dolandırıcılık tespiti yapan sistemleri atlatmak üzere tuş vuruşları arasına rastgele gecikmeler ekleyerek insan yazım ritmini taklit etmesi. Bankacılık ve finans uygulamalarında yaygınlaşan davranışsal biyometriye dayalı risk puanlamasını zayıflatmayı hedefleyen bu yaklaşım, klasik kötü amaçlı yazılımların bıraktığı belirgin izleri azaltıyor.
Öne çıkan yetenekler ve hedeflenen vektörler
Zararlı, kullanıcı adı ve parola gibi kimlik bilgilerini toplayabiliyor, uygulama içi etkileşimleri ayrıntılı biçimde görmek için ekran akışını sunucuya iletebiliyor ve uzaktan komutlarla dokunma ile klavye girdisini taklit ederek cihazı yönlendirebiliyor. Tuş kaydı (keylogging) sayesinde çok faktörlü doğrulamayı desteklemeyen oturumlarda hızlı bir şekilde yetkisiz erişim elde edilmesi mümkün hale geliyor. Ekran yayınlama ve giriş ele geçirme yeteneklerinin birleşimi, saldırganlara kurbanın uygulamayı nasıl kullandığını gözlemleme ve gerektiğinde kritik anlarda müdahale etme kabiliyeti sağlıyor.
Bu özellikler, özellikle bankacılık ve ödeme uygulamalarında yüksek değerli hedeflere yönelik senaryolarda tehlikeyi artırıyor. Saldırgan, gerçek kullanıcının davranış kalıplarına benzer bir hız ve ritimle giriş yaptığında, sahteciliği davranışsal olarak puanlayan sistemler anomali eşiğini daha zor aşıyor. Böylece klasik otomasyon izleri (milisaniye düzeyinde sabit gecikmeler, doğrudan API çağrıları vb.) yerine organik görünen etkileşimler üretiliyor.
Herodotus Android malware için riskler ve korunma
Davranışsal tespit, yazım hızı, tuş aralıkları, hareket desenleri ve etkileşim süreleri gibi sinyalleri değerlendirir. Herodotus’un rastgele gecikme stratejisi, bu sinyallerin bir kısmını insan benzeri aralıklara yaklaştırarak risk puanını düşürmeyi hedefler. Buna rağmen, kurumsal savunmalar çok katmanlı bir yaklaşım benimsediğinde etki alanı daralır: cihaz bütünlüğü attestasyonu, güvenilir yürütme ortamı kontrolleri, erişilebilirlik izinlerinin sıkı doğrulanması ve ağ düzeyinde anomali analizi birlikte uygulandığında, davranışsal taklit tek başına yeterli olmayabilir.
Son kullanıcılar için temel önlemler arasında yalnızca resmi mağazalardan uygulama yüklemek, erişilebilirlik ve ekran paylaşımı gibi yüksek ayrıcalıklı izinleri dikkatle yönetmek, mobil işletim sistemini ve bankacılık uygulamalarını düzenli güncellemek ile cihazda güvenlik çözümlerini etkin tutmak yer alıyor. Bankacılık tarafında ise cihaz bağlamı (C2 iletişimi izleri, olağandışı sensör kullanımı), uygulama bütünlüğü ve oturum içi risk sinyalleri bir arada değerlendirilerek bu tür taklit girişimlerine karşı ek kontrol noktaları oluşturulmalı.
Davranış taklidinin sınırları ve tespit fırsatları
İnsan benzeri gecikmeler, tek başına tam bir kılıf sunmaz. Gerçek kullanıcıların tuşlama dağılımları günün saatine, cihazın kullanım geçmişine, hatta uygulama ekranlarının karmaşıklığına göre değişir. Rastgelelik ile istatistiksel tutarlılık arasındaki dengeyi tutturmak zor olduğundan, uzun oturumlarda veya çok adımlı akışlarda mikro anomaliler birikebilir. Örneğin, ekran akışı başlatma sıklığı, odak değişimleri, erişilebilirlik olaylarının korelasyonu ve dokunmatik temas süresi gibi ikincil göstergeler, taklidi ele verebilir. Güvenlik ekipleri, bu sinyalleri modelleyerek şüpheli oturumları daha erken işaretleyebilir.
Herodotus Android malware hakkında yayımlanan ilk bulgular, tehdit aktörlerinin otomasyon izlerini gizlemek için insan davranışını taklit etmeye daha fazla yatırım yaptığını gösteriyor. Bu eğilim, yalnızca kimlik doğrulama katmanına değil, uçtan uca oturum izlemeye ve cihaz seviyesinde sertleştirmeye yapılan yatırımların önemini artırıyor. Kurumlar, çok faktörlü doğrulama ile birlikte işlem anında ek doğrulamalar, dinamik limitler ve adaptif adımları devreye alarak riskleri azaltabilir.
Kaynak: The Register