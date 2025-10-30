Специалисты ThreatFabric рассказывают о новом банковском трояне Herodotus, который применяется в атаках на пользователей в Италии и Бразилии. Малварь специализируется на захвате устройств и пытается имитировать поведение человека, чтобы обойти системы поведенческого анализа.

Herodotus начал рекламироваться на хакерских форумах 7 сентября 2025 года в формате MaaS (malware-as-a-service). Разработчики вредоноса заявляют, что он подходит для атак на Android версий 9–16. Хотя троян не является прямым продолжением известного банкера Brokewell, исследователи отмечают явное родство: схожие техники обфускации и прямые упоминания Brokewell в коде (например, строка «BRKWL_JAVA»).

Банкер распространяется через приложения-дропперы, замаскированные под Google Chrome (имя пакета com.cd3.app), с помощью SMS-фишинга и других методов социальной инженерии. После установки Herodotus злоупотребляет службами специальных возможностей Android (Accessibility services) для захвата полного контроля над устройством.

Базовая функциональность Herodotus включает:

взаимодействие с экраном и UI-элементами;

показ непрозрачных оверлеев для сокрытия активности;

отображение фейковых экранов входа поверх банковских приложений;

перехват SMS-сообщений с кодами двухфакторной аутентификации;

запись всего, что отображается на экране;

автоматическое получение любых необходимых разрешений;

кражу PIN-кода или графического ключа для экрана блокировки;

удаленную установку дополнительных APK-файлов.

Однако ключевой особенностью вредоноса является попытка обмануть системы поведенческого анализа, которые анализируют характерные паттерны действий человека (скорость набора, движения пальцев, задержки между нажатиями). Так, при удаленном вводе текста малварь специально добавляет случайные задержки в диапазоне 300–3000 миллисекунд (0,3–3 секунды) между символами.

«Такая рандомизация задержек соответствует тому, как живой человек набирает текст, — объясняют в ThreatFabric. — Злоумышленники сознательно замедляют ввод, используя случайные интервалы, чтобы избежать обнаружения антифрод-решениями, которые детектируют машинную скорость набора».

Это первый известный случай, когда Android-малварь целенаправленно стремится обмануть защитные механизмы, построенные на поведенческом анализе.

Изначально Herodotus атаковал только пользователей в Италии и Бразилии, но исследователи уже обнаружили оверлеи для банков и финансовых организаций из США, Турции, Великобритании и Польши. Также операторов малвари интересуют криптовалютные кошельки и биржи, и они явно расширяют географию своих атак.