Обнаружен новый банковский троян для Android под названием Herodotus, который активно используется для проведения атак с целью полного захвата устройства (Device Takeover, DTO). Ключевой особенностью вредоносного ПО является его способность обходить современные поведенческие системы защиты от мошенничества, имитируя человеческое поведение при вводе текста.
Для «гуманизации мошенничества» Herodotus вводит случайные задержки при удаленном вводе данных на зараженном устройстве. Эти задержки варьируются в диапазоне от 300 до 3000 миллисекунд (0,3–3 секунды) между каждым событием ввода. Такая рандомизация позволяет избежать обнаружения системами, которые отслеживают «машинную скорость» автоматизированного ввода, делая вредоносную активность неотличимой от действий реального пользователя.
Впервые реклама этого вредоносного ПО появилась на подпольных форумах 7 сентября 2025 года. Herodotus распространяется по модели «Вредоносное ПО как услуга» (Malware-as-a-Service, MaaS). Основным методом доставки являются приложения-дропперы, которые попадают на устройства через SMS-фишинг (смишинг) и другие методы социальной инженерии.
Для маскировки дроппер использует иконку и название легитимного браузера Google Chrome. Технический анализ выявил конкретное имя пакета, связанного с этой кампанией:
Троян совместим с версиями Android от 9 до 16. Для получения полного контроля над устройством он злоупотребляет функциями «Специальных возможностей» (Accessibility Services) операционной системы.
Herodotus не является прямой эволюцией другого банковского вредоносного ПО Brokewell, однако заимствует у него некоторые компоненты. Связь между ними подтверждается сходством в техниках обфускации кода и наличием в коде Herodotus прямой строковой ссылки
Функционал Herodotus позволяет удаленно взаимодействовать с экраном устройства, используя непрозрачные оверлейные экраны для сокрытия мошеннических действий от владельца. Также он демонстрирует поддельные экраны входа поверх легитимных финансовых приложений для кражи логинов и паролей.
Вредоносная программа способна перехватывать коды двухфакторной аутентификации из SMS-сообщений и считывать все содержимое, отображаемое на экране. При необходимости Herodotus может самостоятельно предоставлять себе дополнительные разрешения в системе.
Одной из опасных возможностей является кража PIN-кода или графического ключа для разблокировки экрана. Кроме того, троян может загружать и устанавливать другие вредоносные APK-файлы, расширяя свои возможности.
На текущий момент активные кампании с использованием Herodotus зафиксированы в Италии и Бразилии. Однако анализ обнаруженных оверлейных страниц указывает на планы по расширению атак на пользователей в США, Турции, Великобритании и Польше.
Целями атак являются финансовые организации, а также кошельки и биржи криптовалют. Анализ был проведен голландской компанией по кибербезопасности ThreatFabric, которая поделилась отчетом с изданием The Hacker News.
Эксперты ThreatFabric пришли к заключению, что вредоносное ПО создано специально для того, чтобы «оставаться активным внутри живых сессий для захвата учетной записи, а не просто для кражи статических учетных данных».
Изображение носит иллюстративный характер
Для «гуманизации мошенничества» Herodotus вводит случайные задержки при удаленном вводе данных на зараженном устройстве. Эти задержки варьируются в диапазоне от 300 до 3000 миллисекунд (0,3–3 секунды) между каждым событием ввода. Такая рандомизация позволяет избежать обнаружения системами, которые отслеживают «машинную скорость» автоматизированного ввода, делая вредоносную активность неотличимой от действий реального пользователя.
Впервые реклама этого вредоносного ПО появилась на подпольных форумах 7 сентября 2025 года. Herodotus распространяется по модели «Вредоносное ПО как услуга» (Malware-as-a-Service, MaaS). Основным методом доставки являются приложения-дропперы, которые попадают на устройства через SMS-фишинг (смишинг) и другие методы социальной инженерии.
Для маскировки дроппер использует иконку и название легитимного браузера Google Chrome. Технический анализ выявил конкретное имя пакета, связанного с этой кампанией:
"com.cd3.app". Троян совместим с версиями Android от 9 до 16. Для получения полного контроля над устройством он злоупотребляет функциями «Специальных возможностей» (Accessibility Services) операционной системы.
Herodotus не является прямой эволюцией другого банковского вредоносного ПО Brokewell, однако заимствует у него некоторые компоненты. Связь между ними подтверждается сходством в техниках обфускации кода и наличием в коде Herodotus прямой строковой ссылки
"BRKWL_JAVA". Функционал Herodotus позволяет удаленно взаимодействовать с экраном устройства, используя непрозрачные оверлейные экраны для сокрытия мошеннических действий от владельца. Также он демонстрирует поддельные экраны входа поверх легитимных финансовых приложений для кражи логинов и паролей.
Вредоносная программа способна перехватывать коды двухфакторной аутентификации из SMS-сообщений и считывать все содержимое, отображаемое на экране. При необходимости Herodotus может самостоятельно предоставлять себе дополнительные разрешения в системе.
Одной из опасных возможностей является кража PIN-кода или графического ключа для разблокировки экрана. Кроме того, троян может загружать и устанавливать другие вредоносные APK-файлы, расширяя свои возможности.
На текущий момент активные кампании с использованием Herodotus зафиксированы в Италии и Бразилии. Однако анализ обнаруженных оверлейных страниц указывает на планы по расширению атак на пользователей в США, Турции, Великобритании и Польше.
Целями атак являются финансовые организации, а также кошельки и биржи криптовалют. Анализ был проведен голландской компанией по кибербезопасности ThreatFabric, которая поделилась отчетом с изданием The Hacker News.
Эксперты ThreatFabric пришли к заключению, что вредоносное ПО создано специально для того, чтобы «оставаться активным внутри живых сессий для захвата учетной записи, а не просто для кражи статических учетных данных».
