Фахівці ThreatFabric виявили новий банківський троян для Android – Herodotus. Він маскується під дії реального користувача, перехоплює SMS-коди і підміняє інтерфейси банківських додатків, що дає змогу зловмисникам проводити транзакції від імені жертви.
Як працює Herodotus
За даними ThreatFabric, троян застосовує паузи від 0,3 до 3 секунд між натисканнями, а також імітує “людські” свайпи і торкання. Це робить поведінку схожою на взаємодію реального користувача, а не автоматизованого бота, що ускладнює виявлення за поведінковими ознаками.
Herodotus вже використовується в реальних кампаніях в Італії та Бразилії.
Потрапляючи на пристрій через сторонній завантажувач або фішингове посилання, троян запитує доступ до сервісів доступності та накладає поверх інтерфейсу фальшиві вікна, приховуючи дії зі збору даних або переказу коштів.
Крім того, програма надсилає зловмисникам список встановлених додатків, щоб у потрібний момент запускати підроблений інтерфейс поверх банківських програм.
Чому це небезпечно
Головна відмінність Herodotus – поєднання традиційного захоплення пристрою з імітацією “живого” введення. Якщо минулі трояни діяли автоматизовано і швидко, що полегшувало їхнє виявлення, то Herodotus навмисно вводить випадкові затримки, знижуючи шанси бути розпізнаним системами антифроду.
Експерти попереджають: класичні методи захисту банків, засновані на аналізі швидкості друку і ритму натискань, можуть виявитися недостатніми.
Як захиститися користувачам
- Не встановлювати додатки зі сторонніх джерел
- Не переходити за посиланнями з підозрілих повідомлень
- Не відключати вбудовані засоби безпеки
- Періодично сканувати пристрій Google Play Protect.