新型安卓木马“Herodotus”通过模仿人类打字方式突破反欺诈系统

网络安全研究人员披露了一种名为Herodotus的新型 Android 银行木马的详细信息，该木马已被观察到在针对意大利和巴西的活跃活动中实施设备接管 ( DTO ) 攻击。

ThreatFabric在与 The Hacker News 分享的一份报告中表示： “Herodotus 旨在执行设备接管，同时首次尝试模仿人类行为并绕过行为生物识别检测。”

这家荷兰安全公司表示，该木马于 2025 年 9 月 7 日首次在地下论坛上发布，作为恶意软件即服务 (MaaS) 模型的一部分，宣称其能够在运行 Android 9 至 16 版本的设备上运行。

DFIR 保留服务
经评估，虽然该恶意软件并非另一款名为Brokewell 的银行恶意软件的直接演化版本，但它似乎确实借鉴了 Brokewell 的某些部分，从而构建了新的变种。这包括所使用的混淆技术的相似性，以及希罗多德著作中对 Brokewell 的直接提及（例如“BRKWL_JAVA”）。


Herodotus 也是众多滥用无障碍服务实现其目标的 Android 恶意软件中的最新一款。该恶意程序通过伪装成 Google Chrome（软件包名称为“com.cd3.app”）的植入程序应用，通过短信钓鱼或其他社会工程手段进行传播，利用无障碍功能与屏幕交互，提供不透明的覆盖屏幕以隐藏恶意活动，并通过在金融应用程序顶部显示虚假登录屏幕来窃取凭证。

此外，它还可以窃取通过短信发送的双因素身份验证 (2FA) 代码，拦截屏幕上显示的所有内容，根据需要授予自己额外的权限，获取锁屏 PIN 或图案，并安装远程 APK 文件。


但这款新型恶意软件的突出之处在于其能够将欺诈行为人性化，并规避基于时间的检测。具体来说，它包括一个选项，可以在启动远程操作（例如在设备上输入文本）时引入随机延迟。ThreatFabric 表示，这是威胁行为者试图使输入看起来像是由真实用户输入的。

CIS 构建套件
“指定的延迟时间在 300 到 3000 毫秒（0.3 到 3 秒）的范围内，”它解释道。“这种文本输入事件之间延迟的随机化确实与用户输入文本的方式相符。通过有意识地以随机间隔延迟输入，攻击者很可能试图避免被仅基于行为的反欺诈解决方案检测到，因为这些解决方案会识别出类似机器的文本输入速度。”

ThreatFabric 表示，它还获得了 Herodotus 使用的针对美国、土耳其、英国和波兰金融机构以及加密货币钱包和交易所的覆盖页面，这表明运营商正在试图积极扩大其视野。

该公司指出：“该木马正在积极开发中，借鉴了 Brokewell 银行木马长期存在的技术，并且似乎专门设计用于在实时会话中持续存在，而不是简单地窃取静态凭证并专注于账户接管。”