- Автор темы
- #1
Специалисты ThreatFabric рассказывают о новом банковском трояне Herodotus, который применяется в атаках на пользователей в Италии и Бразилии. Малварь специализируется на захвате устройств и пытается имитировать поведение человека, чтобы обойти системы поведенческого анализа.
Herodotus начал рекламироваться на хакерских форумах 7 сентября 2025 года в формате MaaS (malware-as-a-service). Разработчики вредоноса заявляют, что он подходит для атак на Android версий 9–16. Хотя троян не является прямым продолжением известного банкера Brokewell, исследователи отмечают явное родство: схожие техники обфускации и прямые упоминания Brokewell в коде (например, строка «BRKWL_JAVA»).
Банкер распространяется через приложения-дропперы, замаскированные под Google Chrome (имя пакета com.cd3.app), с помощью SMS-фишинга и других методов социальной инженерии. После установки Herodotus злоупотребляет службами специальных возможностей Android (Accessibility services) для захвата полного контроля над устройством.
Базовая функциональность Herodotus включает:
Изначально Herodotus атаковал только пользователей в Италии и Бразилии, но исследователи уже обнаружили оверлеи для банков и финансовых организаций из США, Турции, Великобритании и Польши. Также операторов малвари интересуют криптовалютные кошельки и биржи, и они явно расширяют географию своих атак.
Herodotus начал рекламироваться на хакерских форумах 7 сентября 2025 года в формате MaaS (malware-as-a-service). Разработчики вредоноса заявляют, что он подходит для атак на Android версий 9–16. Хотя троян не является прямым продолжением известного банкера Brokewell, исследователи отмечают явное родство: схожие техники обфускации и прямые упоминания Brokewell в коде (например, строка «BRKWL_JAVA»).
Банкер распространяется через приложения-дропперы, замаскированные под Google Chrome (имя пакета com.cd3.app), с помощью SMS-фишинга и других методов социальной инженерии. После установки Herodotus злоупотребляет службами специальных возможностей Android (Accessibility services) для захвата полного контроля над устройством.
Базовая функциональность Herodotus включает:
- взаимодействие с экраном и UI-элементами;
- показ непрозрачных оверлеев для сокрытия активности;
- отображение фейковых экранов входа поверх банковских приложений;
- перехват SMS-сообщений с кодами двухфакторной аутентификации;
- запись всего, что отображается на экране;
- автоматическое получение любых необходимых разрешений;
- кражу PIN-кода или графического ключа для экрана блокировки;
- удаленную установку дополнительных APK-файлов.
Это первый известный случай, когда Android-малварь целенаправленно стремится обмануть защитные механизмы, построенные на поведенческом анализе.
Изначально Herodotus атаковал только пользователей в Италии и Бразилии, но исследователи уже обнаружили оверлеи для банков и финансовых организаций из США, Турции, Великобритании и Польши. Также операторов малвари интересуют криптовалютные кошельки и биржи, и они явно расширяют географию своих атак.