Cybersecurity-Forscher haben eine neue Art von Malware identifiziert, die Android-Geräte infiziert und menschliches Verhalten imitiert, um Bankdaten zu stehlen und Kontoübernahmen durchzuführen. Die Analysten von ThreatFabric berichten, dass der Herodotus-Trojaner so konzipiert ist, dass er menschliche Gewohnheiten nachahmt und damit biometrische Verhaltensdetektionssysteme umgeht.
Die bösartige Software ahmt menschliche Eingaben nach, indem sie absichtlich Verzögerungen einführt und Texteingaben in einzelne Zeichen aufteilt, um Bot- und Automatisierungserkennungstools sowie Verhaltensbiometrie zu umgehen. Laut der Analyse beträgt die Verzögerung zwischen 300 und 3000 Millisekunden (0,3 – 3 Sekunden). Diese Zufälligkeit der Verzögerungen imitiert die natürliche Eingabegeschwindigkeit eines Nutzers und soll verhindern, dass verhaltensbasierte Anti-Betrugslösungen die Eingabe als maschinenhaft erkennen.
Die Entwicklung des Trojaners befindet sich laut den Forschern in einem aktiven Stadium. Herodotus verwendet Techniken, die seit langem mit dem Brokewell-Banking-Trojaner assoziiert sind. Der Trojaner wurde speziell entwickelt, um sich während aktiver Sitzungen im Netzwerk zu halten, anstatt einfach nur statische Zugangsdaten zu stehlen.
Die Forscher vermuten, dass die Verbreitung der Malware möglicherweise über SMiShing-Kampagnen erfolgt, bei denen Benutzer durch SMS mit einem schädlichen Link angesprochen werden. Zudem manipuliert Herodotus die Funktionalität von Geräten, indem er die Accessibility Services von Android ausnutzt und Bildschirme mit gefälschten Seiten überlagert, um Bankdaten zu stehlen.
ThreatFabric-Analysten haben aktive Kampagnen von Herodotus in Brasilien und Italien identifiziert, die Anwendungen mit den Namen Banca Sicura und Modulo Seguranca Stone betreffen. Es gibt derzeit keine aktiven Kampagnen außerhalb dieser beiden Länder, aber Experten haben festgestellt, dass die Overlay-Seiten von Herodotus auch auf Krypto-Wallets, Börsen und Finanzunternehmen in den USA, der Türkei, dem Vereinigten Königreich und Polen abzielen.
Die Forscher sind sich bewusst, dass sich der Trojaner noch im Entwicklungsstadium befindet, und erwarten, dass Herodotus weiterentwickelt und in globalen Kampagnen verbreitet wird.
Häufig gestellte Fragen:
-
Was macht der Herodotus-Trojaner?
Der Herodotus-Trojaner imitiert menschliches Verhalten, um Bankdaten zu stehlen und Kontoübernahmen durchzuführen. -
Wie verbreitet sich der Trojaner?
Die Malware könnte über SMiShing-Kampagnen verbreitet werden, bei denen gefährliche Links per SMS gesendet werden. -
In welchen Ländern wurde der Trojaner aktiv entdeckt?
Aktive Kampagnen wurden in Brasilien und Italien beobachtet. -
Welche Sicherheitsmaßnahmen sollten Nutzer ergreifen?
Nutzer sollten Vorsicht bei unbekannten Links in SMS walten lassen und Antiviren-Software auf ihren Geräten verwenden. - Welche Techniken nutzt der Trojaner, um unentdeckt zu bleiben?
Der Trojaner verwendet künstliche Verzögerungen und splittet Texteingaben, um Betrugserkennungssysteme zu umgehen.
