Herodotus-Trojaner: Android-Malware täuscht menschliches Verhalten vor
Wie Herodotus Betrug vermenschlicht
Eine neue Android-Schadsoftware namens Herodotus erschüttert die Cybersicherheits-Branche mit einer bisher unbekannten Methode: Der Banking-Trojaner imitiert menschliches Tippverhalten, um moderne Sicherheitssysteme zu überlisten. Was macht diese Bedrohung so gefährlich?
Nach einem aktuellen Bericht der niederländischen IT-Sicherheitsfirma ThreatFabric kann die Malware vollständige Kontrolle über infizierte Geräte übernehmen und Gelder aus Bank- und Kryptowährungs-Apps abzweigen. Der entscheidende Unterschied: Herodotus umgeht gezielt die Verhaltensbiometrie, mit der Finanzinstitute betrügerische Aktivitäten erkennen.
Aktive Angriffskampagnen wurden bereits in Italien und Brasilien identifiziert. Die Verbreitung erfolgt über SMS-Phishing-Angriffe, bei denen Nutzer dazu verleitet werden, schädliche Apps außerhalb des Google Play Stores zu installieren. Besonders beunruhigend: Herodotus wird als “Malware-as-a-Service” in Underground-Foren angeboten – eine globale Ausbreitung ist zu erwarten.
Anzeige: Übrigens: Wer sich vor Android-Malware, Phishing-SMS und Datenklau schützen möchte, sollte jetzt die wichtigsten Basics prüfen. Das kostenlose Sicherheitspaket zeigt die 5 entscheidenden Schutzmaßnahmen – mit leicht verständlichen Schritt-für-Schritt-Anleitungen, ganz ohne teure Zusatz-Apps. Ideal für WhatsApp, Online-Banking und PayPal: Checklisten, geprüfte Einstellungen und Update-Tipps machen Ihr Gerät spürbar sicherer. Jetzt kostenloses Android-Sicherheitspaket anfordern
Das Alleinstellungsmerkmal der Schadsoftware liegt in ihrer Fähigkeit, bei der Fernsteuerung eines Geräts wie ein echter Mensch zu agieren. Während herkömmliche Malware Befehle in Maschinengeschwindigkeit ausführt, setzt Herodotus bewusst zufällige Verzögerungen zwischen Tastenanschlägen ein. Jedes Zeichen wird einzeln eingegeben – mit Pausen zwischen 0,3 und 3 Sekunden.
Diese Technik zielt direkt auf moderne Anti-Betrugs-Systeme ab, die Nutzerverhalten analysieren. Tippgeschwindigkeit und -rhythmus helfen Banken normalerweise dabei, echte Nutzer von Bots zu unterscheiden. Herodotus macht diese Erkennung zunichte. Im Kontrollpanel der Malware können Angreifer sogar die “Delayed text”-Option aktivieren, um die Menschennachahmung zu steuern.
“Herodotus ist darauf programmiert, Geräte-Übernahmen durchzuführen, während es versucht, menschliches Verhalten nachzuahmen und verhaltensbasierte Biometrie-Erkennung zu umgehen”, erklären die ThreatFabric-Forscher. Diese Fähigkeit stellt Finanzinstitute vor völlig neue Herausforderungen.
Infektionskette und zerstörerische Funktionen
Der Angriff beginnt mit einer täuschenden SMS mit einem schädlichen Link. Dieser führt zu einer Dropper-Anwendung, die sich als legitimes Tool tarnt. In Italien gab sich die Malware als App namens “Banca Sicura” aus, in Brasilien als “Modulo Seguranca Stone” für einen Zahlungsdienstleister.
Nach der Installation fordert Herodotus aggressiv Berechtigungen für Androids Bedienungshilfen ein – eigentlich für Menschen mit Beeinträchtigungen gedacht. Um Beschränkungen neuerer Android-Versionen zu umgehen, täuscht die App einen “Ladebildschirm” vor, während sie im Hintergrund gefährliche Berechtigungen aktiviert.
Mit diesen Rechten kann Herodotus:
* Overlay-Angriffe ausführen: Gefälschte Anmeldebildschirme über echte Banking-Apps legen
* SMS abfangen: Zwei-Faktor-Authentifizierungs-Codes stehlen
* Bildschirm aufzeichnen: Alle angezeigten Inhalte zur Datenernte protokollieren
* Vollständige Fernsteuerung: Klicks, Wischbewegungen und Texteingaben für betrügerische Transaktionen ausführen
Wachsende Bedrohung im Cybercrime-Markt
Herodotus ist keine völlige Neuentwicklung, sondern nutzt Code der bekannten Malware-Familie Brokewell. Der Entwickler mit dem Alias “K1R0” scheint bestehende Frameworks zu einer raffinierteren Waffe weiterentwickelt zu haben.
Die Malware wird aktiv als Abonnement-Service in Dark-Web-Foren beworben – das senkt die Einstiegshürden für andere Cyberkriminelle erheblich. Zwar konzentrieren sich aktuelle Kampagnen auf Italien und Brasilien, doch ThreatFabric entdeckte bereits gefälschte Overlay-Seiten für Finanzinstitute in den USA, Großbritannien, der Türkei und Polen.
Der Aufstieg von Malware wie Herodotus markiert eine neue Ära mobiler Bedrohungen. Angreifer entwickeln gezielt Methoden, um nicht nur Nutzer, sondern auch die zu ihrem Schutz entwickelten Systeme zu täuschen.
Schutzmaßnahmen und Zukunftsaussichten
Da sich Herodotus noch in aktiver Entwicklung befindet, erwarten Sicherheitsexperten eine Weiterentwicklung der Fähigkeiten. Der Erfolg der menschennachahmenden Techniken dürfte andere Malware-Entwickler zu ähnlichen Ansätzen inspirieren.
Für Android-Nutzer bleibt Wachsamkeit der beste Schutz:
* Keine Sideloading-Apps: Keine Installation von Anwendungen aus inoffiziellen Quellen oder SMS-Links
* Berechtigungen prüfen: Extreme Vorsicht bei Apps, die umfassende Rechte fordern – besonders Bedienungshilfen
* Play Protect aktiviert lassen: Die standardmäßig aktive Google-Schutzfunktion erkennt bekannte Schadsoftware
* System aktuell halten: Regelmäßige Updates für Android und Apps installieren
Google bestätigt, dass bisher keine Herodotus-Apps im Play Store gefunden wurden und Nutzer durch Play Protect automatisch geschützt sind. Dennoch bleibt bei der hauptsächlichen Verbreitung über Sideloading die Nutzer-Aufmerksamkeit die entscheidende Verteidigungslinie.
