Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Mobile Malware Herodotus Mobile Malware

Herodotus Mobile Malware

Von Mezo in Mobile Malware, Banking-Trojaner
Übersetzen Sie in:

Sicherheitsforscher haben einen neuen Android-Banking-Trojaner namens Herodotus entdeckt, der in aktiven Geräteübernahmekampagnen (Device Takeover, DTO) eingesetzt wird. Erste Aktivitäten wurden bei Nutzern in Italien und Brasilien beobachtet, und Analysen deuten darauf hin, dass die Schadsoftware als Malware-as-a-Service (MaaS) angeboten wird.

Gefälschter Chrome Dropper, SMiShing und Side‐Loading

Die Betreiber verbreiten Herodotus über sogenannte Dropper-Anwendungen, die sich als legitime Apps ausgeben (angeblich als Google Chrome mit Paketnamen wie com.cd3.app) und Opfer per SMS-Phishing und anderen Social-Engineering-Methoden ködern. Nach der Installation (oft durch Sideloading) lädt der Dropper die Schadsoftware herunter und installiert sie.

Fähigkeiten des Herodot

  • Missbrauch der Android-Barrierefreiheitsdienste, um den Bildschirm zu kontrollieren, undurchsichtige Überlagerungen anzuzeigen und gefälschte Anmeldeseiten über Banking- und Krypto-Apps einzublenden.
  • Bildschirminhalte und SMS-Nachrichten (einschließlich 2FA-Codes) abfangen und exfiltrieren.
  • Sich selbst zusätzliche Berechtigungen erteilen, PINs oder Muster für den Sperrbildschirm erfassen, Remote-APKs installieren und in laufenden Sitzungen verbleiben, anstatt nur statische Anmeldeinformationen zu stehlen.
  • Protokolliere Tastatureingaben, streame Bildschirminhalte und führe Ferneingabeaktionen durch, um die Kontoübernahme durchzuführen.

„Humanisierung“ von Fernbetrug zur Überwindung von Verhaltenserkennungssystemen

Das herausragende Merkmal von Herodotus ist der Versuch, menschliche Interaktionsmuster nachzuahmen. Die Malware kann zwischen automatisierten Eingabeereignissen zufällige Verzögerungen einfügen (Berichte zufolge zwischen 300 und 3.000 Millisekunden), sodass das Tippen aus der Ferne eher wie von einem echten Benutzer und weniger wie von einer Maschine aussieht – ein klarer Versuch, zeit- oder verhaltensbasierte Betrugserkennung und biometrische Verfahren zu umgehen. Diese zufällige Zeitsteuerung wird als bewusster Versuch beschrieben, Abwehrmechanismen zu überwinden, die primär auf Eingabetempo und Tastenanschlagfrequenz basieren.

Verbindungen zu Brokewell

Analysen zeigen, dass Herodotus nicht einfach eine neue Version von Brokewell ist, sondern dass es Techniken und Codefragmente (einschließlich Verschleierungsmethoden und Literalreferenzen wie Markierungen wie 'BRKWL_JAVA') von Brokewell und anderen Familien wiederverwendet hat – wodurch bekannte Komponenten effektiv zu einem neuen, aktiv entwickelten Stamm zusammengefügt wurden.

Geografischer Geltungsbereich und Ziele

Forscher haben speziell für Banken in den USA, der Türkei, Großbritannien und Polen sowie für Kryptowährungs-Wallets und -Börsen entwickelte Overlay-Seiten entdeckt – ein Indiz dafür, dass die Betreiber ihr Zielgebiet und ihre Zielbranchen über die anfänglichen Aktivitäten in Italien und Brasilien hinaus ausweiten. Das Projekt wird aktiv weiterentwickelt und über Untergrundforen an andere Betrüger vermarktet.

Praktische Maßnahmen zur Priorisierung

  • Verhaltensbasierte Betrugsbekämpfungslösungen sollten als ein Signal in einem mehrschichtigen Verteidigungssystem betrachtet werden: Gerätestatus, Integritätsprüfungen (Erkennung von Zugriffsmissbrauch und per Sideloading installierten Apps), Netzwerktelemetrie und Transaktionsrisikobewertung sollten kombiniert werden.
  • Erkennen und Blockieren von Sideloading und nicht autorisierten Paketinstallationen; Überwachen verdächtiger Overlay-Fenster und der Nutzung von Barrierefreiheitsdiensten auf Endgeräten.
  • Setzen Sie auf eine starke Multi-Faktor-Authentifizierung (wenn möglich Push-Benachrichtigungen oder Hardware-Token per SMS), eine Absicherung der Geräte und zeitnahe Aktualisierungen von Betriebssystem und Anwendungen.
  • Implementieren Sie Transaktionsdrosselungen und sekundäre Verifizierungen für risikoreiche Aktionen, die während einer Live-Sitzung missbraucht werden könnten.

Technische Erkenntnisse

Im Gegensatz zu einfachen Trojanern zum Abgreifen von Zugangsdaten ist Herodotus so konzipiert, dass er während laufender Sitzungen aktiv bleibt und ferngesteuerte, sitzungserhaltende Kontoübernahmen durchführt. Daher sind Echtzeiterkennung und Gegenmaßnahmen während der Sitzung (z. B. Erkennung von Overlays, ungewöhnlichen Eingabemustern, die nicht mit dem Gerätestatus übereinstimmen, oder gleichzeitigem Bildschirmstreaming) besonders wichtig.

Im Trend

Am häufigsten gesehen

Wird geladen...