ThreatFabric сообщила о появлении банковского трояна Herodotus, нацеленного на пользователей Android в Италии и Бразилии и уже расширяющего географию атак. Вредонос выделяется тем, что намеренно имитирует «человеческий» ввод, чтобы обходить системы поведенческого анализа, применяемые банками и финтех-компаниями для противодействия мошенничеству.
Происхождение и модель распространения Malware-as-a-Service
Согласно ThreatFabric, Herodotus рекламируется на подпольных форумах с 7 сентября 2025 года в формате malware-as-a-service (MaaS). Это означает коммерческую модель с абонентским доступом для операторов, что ускоряет масштабирование кампаний и снижает порог входа для киберпреступников. Разработчики заявляют совместимость с Android 9–16, покрывая значительную долю актуального парка устройств.
Технические связи: наследие Brokewell без прямой родословной
Исследователи подчеркивают, что Herodotus не является прямым форком известного банкера Brokewell, однако использует схожие техники обфускации и содержит прямые упоминания в коде (например, строка «BRKWL_JAVA»). Такая «генетическая» близость указывает на заимствование идей и компонентов, что типично для эволюции Android-малвари в финансовом сегменте.
Вектор заражения: дропперы, маскировка под Chrome и социальная инженерия
Herodotus распространяется через приложения-дропперы, маскируемые под Google Chrome (пакет com.cd3.app), а также посредством SMS-фишинга и иных схем социальной инженерии. После установки вредонос запрашивает и злоупотребляет службами специальных возможностей Android (Accessibility Services), получая практически полный контроль над устройством, включая взаимодействие с интерфейсом и контентом на экране.
Имитация человека: рандомизированные задержки при вводе
Ключевое нововведение Herodotus — обход поведенческой биометрии. При удаленном вводе текста троян намеренно добавляет случайные задержки в диапазоне 300–3000 мс между символами. Эти параметры соответствуют естественной вариативности набора живого человека и затрудняют выявление «машинной» активности антифрод-движками, анализирующими скорость, ритм и динамику взаимодействия пользователя с приложением.
География атак и интерес к финансовому сектору
Первоначально зафиксированные кампании фокусировались на Италии и Бразилии. Вместе с тем ThreatFabric уже обнаружила оверлеи (поддельные экраны поверх банковских приложений) для организаций из США, Турции, Великобритании и Польши. Помимо банковских сервисов, операторы проявляют интерес к криптовалютным кошелькам и биржам, что отражает тренд диверсификации доходов киберпреступников.
Почему обход поведенческого анализа — значимое усиление
Поведенческая биометрия стала стандартом в мобильном антифроде: анализируются микропаттерны — от ускорения свайпов до задержек между кликами. Herodotus — первый известный Android-троян, который целенаправленно подстраивает свое поведение под «человеческое», чтобы минимизировать сигналы риска. Такой подход повышает шансы злоумышленников на захват активных сессий и проведение финансовых операций внутри доверенного контекста, где одноразовые коды и статические учетные данные уже не являются единственной защитой.
Активная разработка и фокус на account takeover
По оценке ThreatFabric, проект активно развивается, заимствуя удачные техники Brokewell. Вектор атаки смещается от простой кражи логинов к перехвату и удержанию сессий (account takeover) — это позволяет действовать в реальном времени, обходя дополнительные проверки и повышая конверсию мошеннических транзакций.
Организациям рекомендуется усилить защиту мобильных каналов: ограничить установку приложений из непроверенных источников, контролировать доступ к Accessibility через MDM/EMM-профили, внедрить Mobile Threat Defense с детекцией оверлеев и аномалий UI-автоматизации, а также комбинировать поведенческую биометрию с детекторами эмуляции/скриптинга. Пользователям важно проверять разрешения приложений, игнорировать ссылки из подозрительных SMS и устанавливать обновления безопасности. Herodotus демонстрирует, что киберпреступники быстро адаптируются к антифроду: чтобы опережать угрозы, стоит пересматривать модели риска и тестировать защиту под углом «человеко-подобной» автоматизации.
