Новий банківський троян Herodotus цілить у користувачів Android та вирізняється здатністю імітувати «людську» взаємодію для обходу систем поведінкового аналізу. За даними ThreatFabric, перші хвилі атак зафіксовано в Італії та Бразилії, а географія вже розширюється. Така еволюція мобільного фрод-інструментарію підвищує ризики для банків, фінтеху та криптосервісів.
Походження Herodotus і модель поширення Malware‑as‑a‑Service
За оцінкою ThreatFabric, Herodotus рекламується на підпільних форумах з 7 вересня 2025 року у форматі malware‑as‑a‑service (MaaS). Комерційна модель підписки знижує бар’єр входу для операторів і полегшує масштабування кампаній. Розробники заявляють сумісність з Android 9–16, що покриває значну частку актуального парку пристроїв.
Технічні паралелі з Brokewell: не форк, але спільні прийоми
Дослідники підкреслюють, що Herodotus не є прямим форком відомого банківського трояна Brokewell, однак успадковує подібні техніки обфускації і містить прямі згадки у коді (рядок «BRKWL_JAVA»). Така «генетична» спорідненість типова для екосистеми Android‑малварі, де ідеї та компоненти активно реюзуються.
Вектори доставки: дроппери під виглядом Chrome та соціальна інженерія
Початкове зараження здійснюється через застосунки‑дроппери, замасковані під Google Chrome (пакет com.cd3.app), а також через SMS‑фішинг та інші прийоми соціальної інженерії. Після інсталяції шкідник запитує доступ до Accessibility Services і зловживає ними, отримуючи розширені привілеї для керування інтерфейсом, читання контенту на екрані та взаємодії з іншими додатками.
Імітація людини для обходу поведінкової біометрії
Ключова інновація Herodotus — свідоме маскування під «живого» користувача. Під час віддаленого введення даних троян додає випадкові затримки між символами в діапазоні 300–3000 мс. Такі параметри відповідають природній варіативності набору й ускладнюють виявлення автоматизованої активності антифрод‑системами, що аналізують швидкість, ритм та мікродинаміку взаємодії.
Цілі та географія: від банків до криптогаманців
Спершу активність підтверджено в Італії та Бразилії. Водночас ThreatFabric ідентифікувала оверлеї для банківських застосунків у США, Туреччині, Великій Британії та Польщі. Окрім фінансових додатків, оператори виявляють інтерес до криптогаманців і бірж, що корелює з тенденцією диверсифікації злочинних доходів.
Чому обхід поведінкового аналізу — суттєве посилення фроду
Поведінкова біометрія стала стандартом мобільного антифроду: системи відстежують мікропатерни — від затримок між натисканнями до прискорення свайпів. За оцінкою ThreatFabric, Herodotus — перший відомий Android‑троян, який цілеспрямовано підлаштовує поведінку під «людську», мінімізуючи сигнали ризику. Це підвищує шанси на захоплення активної сесії (account takeover) та проведення операцій усередині довіреного контексту, де одноразові коди чи статичні облікові дані вже недостатні.
Фокус на ATO і розвиток можливостей у реальному часі
Проєкт активно розвивається, переймаючи вдалі прийоми Brokewell. Вектор зміщується від банальної крадіжки логінів до перехоплення й утримання сесій, що дозволяє діяти в реальному часі, обходячи додаткові перевірки й підвищуючи конверсію шахрайських транзакцій.
Практичні рекомендації для організацій та користувачів
Організаціям варто обмежити встановлення застосунків з неперевірених джерел, керувати доступом до Accessibility через MDM/EMM‑політики, впровадити Mobile Threat Defense з детекцією оверлеїв, зловживань Accessibility і аномалій UI‑автоматизації. Комбінуйте поведінкову біометрію з детекторами емулювання/скриптингу та тестуйте антифрод під кутом «людиноподібної» автоматизації.
Користувачам рекомендується уважно перевіряти дозволи застосунків, ігнорувати підозрілі SMS‑посилання, регулярно встановлювати оновлення безпеки та користуватися офіційними магазинами додатків. Herodotus демонструє швидку адаптацію зловмисників: щоби випереджати загрози, переглядайте моделі ризику та проводьте регулярні випробування захисту на сценаріях, що імітують поведінку реальної людини.
