ThreatFabric hat mit „Herodotus“ einen neuen Android-Banking-Trojaner dokumentiert, der zunächst Nutzer in Italien und Brasilien ins Visier nahm und seine Reichweite rasch ausbaut. Die Schadsoftware sticht durch eine gezielte Nachbildung menschlichen Verhaltens hervor, um Verhaltensbiometrie und Anti-Fraud-Mechanismen auszutricksen, die im mobilen Banking inzwischen Standard sind.
Malware-as-a-Service: schnelle Skalierung und breiter Gerätefokus
Herodotus wird seit dem 7. September 2025 auf Untergrundforen als Malware-as-a-Service (MaaS) vermarktet. Dieses Abo- und Mietmodell senkt die Einstiegshürden für Operatoren und beschleunigt die Verbreitung neuer Kampagnen. Laut Anbietern ist der Trojaner mit Android 9 bis 16 kompatibel und adressiert damit einen Großteil aktiver Geräteflotten.
Technische Verwandtschaft: Anleihen bei Brokewell ohne direkten Fork
Die Analyse ordnet Herodotus nicht als direkten Fork des Bankers Brokewell ein, weist jedoch auf ähnliche Obfuskationstechniken und explizite Code-Referenzen hin (u. a. die Zeichenkette „BRKWL_JAVA“). Diese Nähe deutet auf eine Wiederverwendung von Ideen und Komponenten hin – ein bekanntes Muster in der Evolution von Android-Finanzmalware.
Infektionskette: Dropper, Chrome-Imitation und Social Engineering
Die Verteilung erfolgt über Dropper-Apps, die sich als Google Chrome tarnen (Paketname com.cd3.app), flankiert von SMS-Phishing und Social-Engineering-Methoden. Nach der Installation fordert die Malware weitreichende Rechte über die Android Accessibility Services an und kann dadurch UI-Inhalte auslesen, Eingaben simulieren und Interaktionen fernsteuern.
Imitation menschlicher Eingaben: gezielt variierte Tippdynamik
Das zentrale Alleinstellungsmerkmal: Umverteilung und Erfassung von Zugangsdaten werden durch vermeintlich „menschliche“ Eingaben verschleiert. Beim Remote-Tippen streut Herodotus zufällige Verzögerungen von 300–3000 ms zwischen Zeichen. Diese Latenzprofile ähneln natürlicher Tippvariabilität und erschweren die Erkennung automatisierter Muster in Anti-Fraud-Systemen, die Timing, Rhythmus und Interaktionsdynamik bewerten.
Zielbranche und Geografie: Banken, Krypto und neue Länder
Obwohl frühe Kampagnen Italien und Brasilien fokussierten, liegen bereits Overlay-Templates für Institute in den USA, der Türkei, dem Vereinigten Königreich und Polen vor. Neben klassischen Banking-Apps rücken Krypto-Wallets und -Börsen in den Fokus – ein Indiz für die Diversifikation krimineller Monetarisierungsstrategien.
Einordnung: Warum das Umgehen von Verhaltensbiometrie brisant ist
Verhaltensbiometrie dient als zusätzliche Schutzschicht gegen Fraud, indem feingranulare Muster wie Wischbeschleunigung, Tippintervalle oder Scrollrhythmik bewertet werden. Herodotus ist der erste breit dokumentierte Android-Trojaner, der sein Interaktionsprofil bewusst „humanisiert“, um Risikosignale zu dämpfen. Dadurch steigt die Erfolgswahrscheinlichkeit für Session-Übernahmen (Account Takeover) innerhalb bereits authentifizierter Kontexte – ein Szenario, in dem Einmalcodes und statische Passwörter allein nicht mehr ausreichen.
Trend zum Echtzeit-Fraud: Weg von reiner Datendiebstahl-Logik
Die aktive Weiterentwicklung folgt dem Branchenmuster: weg von Credential-Harvesting, hin zur Übernahme und Aufrechterhaltung aktiver Sitzungen. In Echtzeit gehandelte Transaktionen lassen sich so mit weniger Rückfragen initiieren und erhöhen die Betrugsquote, insbesondere wenn Overlay-Angriffe die Benutzerführung manipulieren.
Abwehrmaßnahmen: technische Controls und Prozesshärtung
Organisationen sollten Sideloading beschränken, Accessibility-Rechte via MDM/EMM kontrollieren, Mobile Threat Defense mit Erkennung von Overlays und UI-Automationsanomalien einsetzen und Verhaltensbiometrie mit Emulator-, Skript- und Remote-Automation-Detektoren kombinieren. Serverseitig helfen kontinuierliche Session-Risiko-Scorings, Step-up-Authentication bei verdächtigen Interaktionen und Härtungen gegen Accessibility-Missbrauch (z. B. Sensitivitätsprüfungen, dynamische UI-Elemente).
Für Endnutzer gilt: App-Berechtigungen prüfen, Links aus unerwarteten SMS ignorieren, Sicherheitsupdates installieren und auf Warnungen des Betriebssystems sowie von Banking-Apps achten. Herodotus zeigt, wie schnell sich Angreifer an Anti-Fraud-Mechanismen anpassen. Wer Risiken reduzieren will, sollte Modelle und Kontrollen regelmäßig gegen „menschenähnliche“ Automatisierung testen und die Security-Telemetrie zwischen App, Gerät und Backend enger verzahnen.
