Herodotus-Trojaner: Android-Malware imitiert menschliches Verhalten
Der als Malware-as-a-Service angebotene Trojaner Herodotus umgeht Sicherheitssysteme durch Nachahmung menschlichen Verhaltens und gefährdet Banking-Konten weltweit.
Ein hochentwickelter Android-Trojaner macht Bankkunden weltweit das Leben schwer – darunter auch in Deutschland. Die als „Herodotus” bezeichnete Schadsoftware setzt auf eine perfide neue Taktik: Sie imitiert menschliches Verhalten so überzeugend, dass selbst fortschrittliche Sicherheitssysteme sie nicht erkennen.
Was diese Malware besonders gefährlich macht? Sie wird als Malware-as-a-Service (MaaS) angeboten – praktisch eine Kriminalitäts-Plattform, die auch weniger versierte Cyberkriminelle nutzen können. Experten sprechen von einer „neuen Dimension” bei mobilen Banking-Angriffen.
Der Weg aufs Smartphone: SMS als Einfallstor
Die Angriffskette beginnt klassisch, aber effektiv: Nutzer erhalten täuschend echte SMS-Nachrichten, die angeblich von ihrer Bank stammen. Diese „Smishing”-Kampagnen enthalten Links zu gefälschten Webseiten, die das Herunterladen einer Android-Installationsdatei (APK) anstoßen – bewusst außerhalb des geschützten Google Play Store.
Nach der Installation fordert Herodotus weitreichende Berechtigungen, insbesondere Zugriff auf die Android-Bedienungshilfen. Diese eigentlich für Menschen mit Behinderungen gedachte Funktion öffnet dem Trojaner Tür und Tor: Er kann gefälschte Login-Bildschirme über echte Banking-Apps legen, SMS mit Zwei-Faktor-Codes abfangen und sich nach Belieben weitere Rechte verschaffen.
Übrigens: Wer sein Android-Smartphone vor Trojanern wie Herodotus schützen möchte, sollte die fünf wichtigsten Schutzmaßnahmen kennen. Der kostenlose Ratgeber erklärt Schritt für Schritt, wie Sie App-Berechtigungen prüfen, sichere Installationsquellen erkennen und Zwei-Faktor-Methoden sinnvoll einrichten – ganz ohne teure Zusatz-Apps. Jetzt das kostenlose Android-Sicherheits-Paket herunterladen
Die entscheidende Innovation: Täuschend echt
Der Clou liegt im Detail. Während frühere Banking-Trojaner durch ihre roboterhaften Aktionsmuster auffielen, agiert Herodotus bewusst „menschlich”. Die Malware baut zufällige Verzögerungen ein, simuliert natürliche Bildschirmbewegungen und imitiert typische Tipprhythmen beim Fernsteuern eines Geräts.
Diese Mimikry richtet sich direkt gegen verhaltensbasierte Biometrie-Systeme, wie sie deutsche Banken zunehmend einsetzen. Diese analysieren nicht nur was ein Nutzer tut, sondern auch wie – etwa Tippgeschwindigkeit oder Bewegungsmuster. Kann das System keinen Unterschied zum legitimen Nutzer erkennen, laufen betrügerische Transaktionen praktisch unbemerkt durch.
Sicherheitsforscher vermuten Verbindungen zur bekannten Malware „Brokewell”. Erste Angriffswellen trafen bereits Kunden in Italien und Brasilien, doch auch für Institute in Großbritannien, der Türkei, Polen und den USA wurden gefälschte Oberflächen entwickelt. Deutsche Banken dürften nur eine Frage der Zeit sein.
Teil einer größeren Welle
Herodotus steht nicht allein. In den vergangenen Tagen identifizierten Cybersecurity-Firmen weitere Android-Trojaner wie BankBot-YNRK und DeliveryRAT. Ersterer tarnte sich als offizielle indonesische Regierungs-App, letzterer verbreitete sich in Russland über gefälschte Liefer- und Banking-Dienste.
Die Häufung alarmiert Behörden weltweit. Die Hongkonger Finanzaufsicht HKMA warnte am 6. November explizit vor gefälschten Webseiten und Phishing-E-Mails. Auch Google schlug kürzlich Alarm: Betrüger würden vermehrt populäre KI-Produkte nachahmen, um Zugangsdaten abzugreifen.
Warum diese Angriffe so erfolgreich sind
Das Erfolgsrezept kombiniert psychologische Manipulation mit technischer Raffinesse. Die initiale SMS erzeugt künstliche Dringlichkeit – wer glaubt, sein Konto sei gefährdet, klickt schneller als er denkt. Der Missbrauch der Bedienungshilfen nutzt eine bekannte Schwachstelle im Android-Ökosystem aus, die Malware tiefgreifende Kontrolle verschafft.
Die „Humanisierung” wiederum ist eine direkte Antwort auf moderne Betrugserkennungssysteme. Es entwickelt sich ein digitales Wettrüsten: Banken verfeinern ihre Analysewerkzeuge, Angreifer passen sich blitzschnell an. Dass Herodotus als MaaS-Modell verfügbar ist, senkt die Einstiegshürde für Kriminelle dramatisch.
So schützen Sie sich
Banken werden ihre verhaltensbasierten Analysetools weiter optimieren müssen. Doch die wichtigste Verteidigungslinie bleibt der informierte Nutzer. Diese Maßnahmen sollten Sie sofort umsetzen:
Klicken Sie niemals auf Links in unaufgefordert zugesandten SMS oder E-Mails. Öffnen Sie stattdessen den Browser, tippen Sie die Bankadresse manuell ein oder nutzen Sie die offizielle App.
Installieren Sie Apps ausschließlich über den Google Play Store. APK-Dateien von Drittseiten oder Messenger-Links sind tabu – ohne Ausnahme.
Prüfen Sie App-Berechtigungen kritisch. Fordert eine Anwendung Zugriff auf Bedienungshilfen, SMS oder Administratorrechte, sollten sämtliche Alarmglocken schrillen.
Setzen Sie auf Authenticator-Apps statt SMS-Codes für die Zwei-Faktor-Authentifizierung. SMS lassen sich von Malware wie Herodotus abfangen – Authenticator-Apps nicht.
Überwachen Sie Ihre Konten regelmäßig und aktivieren Sie Transaktionsbenachrichtigungen. Je früher Sie verdächtige Aktivitäten entdecken, desto besser.
Die Bedrohungslage wird sich verschärfen – dessen sind sich Experten sicher. Wer die Grundregeln digitaler Hygiene beherzigt, macht es Cyberkriminellen aber deutlich schwerer.
PS: Diese 5 Maßnahmen machen Ihr Android-Smartphone spürbar sicherer – Tipp 3 schließt eine oft übersehene Lücke, die Malware wie Herodotus ausnutzt. Fordern Sie das kompakte Sicherheitspaket mit praktischen Checklisten und Schritt-für-Schritt-Anleitungen gratis an. Gratis-Ratgeber: Android-Schutz jetzt anfordern
