Нов Android тројанец „Herodotus“ ги надмудрува анти-фрод системите со тоа што пишува како човек

Истражувачите за сајбер-безбедност открија детали за нов Android банкарски тројанец наречен Herodotus, кој бил забележан во активни кампањи насочени кон Италија и Бразил со цел изведување напади за преземање на уреди (DTO – Device Takeover).

„Herodotus е дизајниран да изврши преземање на уредот додека во првите обиди се обидува да го имитира човечкото однесување и да ги заобиколи системите за откривање на биометриски модели на однесување,“ се наведува во извештајот на ThreatFabric споделен со The Hacker News.

Холандската компанија за безбедност изјави дека тројанецот првпат бил рекламиран на подземни форуми на 7 септември 2025 година, како дел од моделот „malware-as-a-service“ (MaaS), при што се истакнувала неговата способност да работи на уреди со Android верзии од 9 до 16.

Се проценува дека иако овој малвер не е директна еволуција на друг познат банкарски малвер наречен Brokewell, очигледно има преземено делови од него за да се создаде новиот вид. Ова вклучува сличности во техниките на обфускација (прикривање на кодот), како и директни спомнувања на Brokewell во Herodotus (на пр., „BRKWL_JAVA“).

Herodotus е исто така најновиот во долга низа Android-малвери кои злоупотребуваат услуги за пристапност за да ги остварат своите цели. Дистрибуиран преку апликации-дропери кои се маскираат како Google Chrome (име на пакетот “com.cd3.app”) и се ширaт преку SMS-фишинг или други трикови на социјалната инженеринг, злонамерната програма ја користи функцијата за пристапност за да комуницира со екранот, да прикажува непрозирни прекривки/слоеви (overlay) за да ја сокрие злонамерната активност и да изврши кражба на креденцијали со прикажување лажни екрани за најава врз финансиски апликации.

Дополнително, таа може да ги украде кодовите за двофакторска автентикација (2FA) испратени преку SMS, да ја пресретне сета содржина што се прикажува на екранот, да си додели дополнителни дозволи кога е потребно, да го добие ПИН-от или шаблонот за заклучување на екранот и да инсталира APK-датотеки од далечински извори.

Но издвоено кај новиот малвер е неговата способност да ја „хуманизира“ измамата и да ги заобиколи детекциите базирани на време. Поточно, вклучува опција за воведување случајни задоцнувања при иницирање на далечински акции, како што е внесувањето текст на уредот. Според ThreatFabric, тоа е обид на актерите зад заканата да создадат впечаток дека внесот го прави вистински корисник.

„Одложувањето е зададено во опсег од 300 – 3000 милисекунди (0,3 – 3 секунди),“ се објаснува во извештајот. „Таквата рандомизација на доцнењето помеѓу настаните на внесување текст одговара на начинот на кој би внесувал текст вистински корисник. Со свесно одложување на внесот во случајни интервали, актерите веројатно се обидуваат да избегнат откривање од анти-фрод решенија кои се фокусираат само на однесувањето и детектираат машинска брзина на внесување текст.“

ThreatFabric исто така соопшти дека добила overlay страници кои Herodotus ги користел за таргетирање на финансиски организации во САД, Турција, Обединетото Кралство и Полска, заедно со криптовалутни паричници и берзи, што укажува дека операторите активно се обидуваат да ги прошират своите цели.

„Малверот е во активен развој, користи техники кои долго време се поврзуваат со банкарскиот тројанец Brokewell, и изгледа дека е намерно создаден за да остане активен во живи сесии, наместо само да краде статички креденцијали и да се фокусира на преземање на сметки,“ наведува компанијата.

Извори:

• The Hacker News – „New Android Trojan ‘Herodotus’ Outsmarts Anti-Fraud Systems by Typing Like a Human“ .The Hacker News