Herodotus: nowy trojan na Androida „udaje człowieka”, by omijać detekcję i okradać konta - Security Bez Tabu

Herodotus: nowy trojan na Androida „udaje człowieka”, by omijać detekcję i okradać konta

Wprowadzenie do problemu / definicja luki

Badacze ThreatFabric ujawnili nową rodzinę mobilnego malware’u na Androida o nazwie Herodotus. To trojan bankowy typu Device Takeover (DTO), który podczas zdalnego sterowania telefonem symuluje ludzkie pisanie – wprowadza znaki pojedynczo z losowymi przerwami 0,3–3 s – aby zmylić mechanizmy antyfraudowe oparte na tempie interakcji i rytmie klawiatury. Kampanie potwierdzono m.in. we Włoszech i Brazylii, a zestawy fałszywych nakładek („overlays”) przygotowano także dla banków i serwisów krypto w USA, Wielkiej Brytanii, Turcji i Polsce.

W skrócie

  • Nowość: wprowadzanie tekstu z losowymi opóźnieniami imituje człowieka i utrudnia wykrycie automatyzacji.
  • Zdolności: przejęcie urządzenia (DTO) przez nadużycie Accessibility Service, nakładki na aplikacje bankowe, podgląd ekranu, kradzież kodów SMS/2FA.
  • Dystrybucja: smishingdropper (sideloading), podszywanie się m.in. pod „Banca Sicura” i „Modulo Seguranca Stone”.
  • Model: zapowiedziany jako Malware-as-a-Service (MaaS), autor „K1R0”.

Kontekst / historia / powiązania

ThreatFabric wskazuje, że Herodotus nie jest prostą ewolucją, ale ma fragmenty kodu i technik znanych z trojana Brokewell (np. ciągi znaków „BRKWL_JAVA”, podobna obfuskacja). To sugeruje „zszycie” komponentów z nowymi elementami, w tym modułem do bardziej „ludzkich” interakcji.

Analiza techniczna / szczegóły luki

  • Wejście tekstu: zamiast wklejać cały ciąg (co bywa wykrywane jako nieludzkie), malware dzieli tekst na znaki i wstawia je z losowym opóźnieniem 300–3000 ms. Celem jest ominięcie detekcji behawioralnej opartej na czasie wprowadzania danych.
  • Zdalne sterowanie: polecenia obejmują m.in. kliknięcia po elementach/koordynatach, gesty, akcje globalne (Back/Home/Recents), wpisywanie tekstu, a także VNC/screen-sharing.
  • Ukrywanie aktywności: „blocking overlay” – pełnoekranowa nakładka imitująca ekran ładowania, która maskuje działania oszusta podczas przelewów.
  • Kradzież danych: fałszywe strony logowania nad aplikacjami banków/krypto, przechwytywanie SMS (2FA), logowanie zawartości ekranu.
  • Dystrybucja i łańcuch infekcji: smishing prowadzący do droppera napisanego przez tego samego autora; dropper pomaga obejść ograniczenia Android 13+ dla Accessibility, uruchamia payload i prosi ofiarę o nadanie uprawnień.
  • Infrastruktura: komunikacja MQTT; domena google-firebase[.]digital z wieloma subdomenami przypisywanymi do różnych operatorów kampanii.

Praktyczne konsekwencje / ryzyko

  • Bankowość mobilna i fintech: Kontrole antyfraudowe polegające wyłącznie na tempie/rytmie interakcji mogą zostać zdegradowane – przerwy „jak u człowieka” obniżają ryzyko z punktu widzenia prostych silników behawioralnych. Potrzebne jest korelacyjne podejście (ryzyko urządzenia + sygnały sesyjne + behawioryka na poziomie indywidualnego wzorca).
  • Użytkownicy w Polsce: choć potwierdzone kampanie to Włochy i Brazylia, istnieją gotowe nakładki na aplikacje bankowe w Polsce, co wskazuje na realne ryzyko lokalnych kampanii.

Rekomendacje operacyjne / co zrobić teraz

Dla zespołów bezpieczeństwa w bankach/fintechach:

  1. Wzmacniajcie sygnalizację ryzyka urządzenia: wykrywanie aktywnych usług Accessibility, nakładek, wskaźników DTO (VNC/screen-sharing), nienaturalnych strumieni zdarzeń. Korelować z kontekstem sieciowym i reputacją aplikacji.
  2. Behawioralne modele per-użytkownik: zamiast prostych progów tempa wpisywania, modelować indywidualne wzorce; łączyć z detekcją anomalii na poziomie sekwencji UI (np. trajektorie kliknięć, wzorce nawigacji).
  3. Weryfikacja transakcji wysokiego ryzyka: step-up auth niezależny od SMS (np. FIDO2/push w zaufanej aplikacji), geokorelacja, challenge-response w obrębie aplikacji.
  4. Honeypoty anty-overlay: dynamiczne elementy UI i ukryte pola wykrywające „set text”/clipboard zamiast realnych zdarzeń klawiszy.
  5. Telemetria mobilna: alerty na „blocking overlay”, częste żądania uprawnień Accessibility, nietypowe użycie ACTION_SET_TEXT.

Dla użytkowników i działów IT:

  • Nie instaluj z SMS-ów/WWW – tylko Google Play i sprawdzony vendor MDM; wyłącz „instalację z nieznanych źródeł”.
  • Uważaj na prośby o Accessibility – legalne aplikacje rzadko tego potrzebują do bankowości.
  • 2FA bez SMS (aplikacyjna/push), aktualizacje Androida i Play Protect; w razie podejrzenia DTO – natychmiast rozłącz internet, zadzwoń do banku innym kanałem, zresetuj urządzenie i hasła.
  • Edukacja smishingowa (również dla helpdesku i contact center).
    Te zalecenia wynikają ze sposobu działania Herodotus (smishing→dropper→Accessibility→DTO).

Różnice / porównania z innymi przypadkami

  • Brokewell vs. Herodotus: Brokewell był wcześniejszą rodziną DTO; Herodotus wykorzystuje jego moduły i techniki, ale dodaje „humanizację” wejścia jako kluczową innowację anty-detekcyjną.
  • Na tle typowych trojanów bankowych: wklejanie danych/clipboard jest szybkie, ale „nieludzkie” – Herodotus celowo zwalnia i randomizuje. Media branżowe potwierdzają, że te przerwy potrafią wynosić do 3 sekund.

Podsumowanie / kluczowe wnioski

Herodotus to sygnał, że fraud na Androidzie wchodzi w erę „anty-behawioralną”: przestępcy modelują ludzkie zachowanie, żeby oszukać silniki antyfraudowe. Skuteczna obrona wymaga pełnej warstwowości: telemetryki urządzenia, detekcji DTO, modeli per-użytkownik, silnych metod weryfikacji transakcji i restrykcji instalacji aplikacji. Organizacje w Polsce powinny traktować temat priorytetowo, bo nakładki na krajowe aplikacje są już w arsenale operatorów.

Źródła / bibliografia

  • ThreatFabric: „New Android Malware Herodotus Mimics Human Behaviour to Evade Detection” (28.10.2025) – raport techniczny (kampanie, techniki, zakres opóźnień, DTO, overlay, MQTT). (threatfabric.com)
  • The Record (Recorded Future News): „New Android malware mimics human typing to evade detection, steal money” (28.10.2025) – streszczenie i regionalizacja (Włochy, Brazylia; nakładki m.in. Polska). (The Record from Recorded Future)
  • The Hacker News: „New Android Trojan ‘Herodotus’ Outsmarts Anti-Fraud Systems by Typing Like a Human” (28.10.2025) – potwierdzenie MaaS, Brokewell, zakres opóźnień. (The Hacker News)
  • BankInfoSecurity: „‘Herodotus’ Android Trojan Mimics Human Sluggishness” (28.10.2025) – opis anty-detekcji (opóźnienia do 3 s) i łańcucha infekcji. (BankInfoSecurity)
  • The Register: „Android malware types like your gran to steal banking creds” (28.10.2025) – omówienie kampanii i infrastruktury (domena google-firebase[.]digital). (The Register)