Herodotus : le malware Android qui imite la frappe humaine pour tromper la détection

brève actu

Le cheval de Troie Herodotus simule la frappe humaine pour échapper aux détections, ciblant des campagnes bancaires en Italie, au Brésil et certainement bientôt au-delà.

Le paysage des menaces mobiles évolue avec l’émergence de Herodotus, un malware Android sophistiqué conçu pour imiter la frappe humaine et échapper aux systèmes de détection. Ce cheval de Troie bancaire, découvert par Threat Fabric, représente une menace majeure en raison de sa capacité à prendre le contrôle total des appareils infectés. Distribué sous forme de Malware-as-a-Service (MaaS), Herodotus cible principalement les utilisateurs en Italie et au Brésil, mais ses ambitions mondiales sont claires.

En se faisant passer pour des applications légitimes, ce malware s’installe via des méthodes de sideloading et de SMiShing, où les utilisateurs sont trompés pour installer des applications malveillantes. Une fois en place, il utilise des techniques avancées pour masquer ses activités, comme le rapporte Security Affairs.

Herodotus : une menace sophistiquée pour la cybersécurité mobile

Herodotus se distingue par sa capacité à simuler un comportement humain lors des sessions de contrôle à distance. Contrairement aux anciens chevaux de Troie qui effectuaient des actions de manière automatisée, Herodotus divise les saisies en caractères individuels et introduit des délais aléatoires de 0,3 à 3 secondes entre chaque pression de touche. Cela rend les actions automatisées moins détectables par les systèmes anti-fraude qui identifient les comportements machine-like. Bien que ces techniques puissent tromper les systèmes de base, les systèmes plus avancés capables de modéliser des interactions spécifiques à l’utilisateur ou de classifier les versions de malware peuvent encore identifier ces anomalies. Ce niveau de sophistication marque une évolution significative dans le développement des malwares bancaires, combinant automatisation et imitation humaine pour effectuer des fraudes de prise de contrôle d’appareil.

L’une des caractéristiques les plus inquiétantes de Herodotus est sa capacité à utiliser des superpositions opaques pour dissimuler ses activités frauduleuses aux victimes. Par exemple, il peut afficher de faux écrans bancaires qui ralentissent les utilisateurs avec des messages tels que « vérification de vos informations d’identification ». En outre, le malware intègre des fonctionnalités de prise de contrôle complète de l’appareil, telles que des attaques par superposition pour capturer les identifiants de connexion, le vol de SMS pour intercepter l’authentification à deux facteurs, ainsi que l’enregistrement et la capture d’écran via le service d’accessibilité. Ces fonctionnalités sont commercialisées sur des forums clandestins comme des services de MaaS, permettant à divers opérateurs de mener des campagnes régionales ciblées. Le rapport de Threat Fabric a révélé plusieurs sous-domaines actifs utilisés par Herodotus, soulignant son utilisation dans des campagnes en Italie et au Brésil, avec des cibles potentielles aux États-Unis, au Royaume-Uni, en Turquie et en Pologne.

Actuellement en développement actif, Herodotus est susceptible de s’étendre davantage à l’échelle mondiale, marquant une nouvelle étape dans le modèle commercial de MaaS, comme le conclut le rapport.