ThreatFabric enthüllt Herodotus, einen Android-Banking-Trojaner, der menschliche Wisch- und Tippmuster simuliert, 2FA abgreift und via Overlays Daten stiehlt.
© RusPhotoBank
Forschende von ThreatFabric haben einen neuen Android-Banking-Trojaner identifiziert, der Herodotus getauft wurde. Die Schadsoftware setzt auf eine ungewöhnliche Taktik: Sie imitiert reales Nutzerverhalten, baut zufällige Pausen zwischen Tippgesten ein und ahmt Wisch- sowie Touch-Bewegungen nach, damit Erkennungssysteme ihre Aktivitäten eher als menschlich einstufen. Eine Herangehensweise, die deutlich über simple Skripte hinausgeht.
Herodotus bedient sich dennoch der gängigen Tricks solcher Malware: gefälschte Login-Oberflächen, das Abfangen von 2FA-SMS-Codes und der Missbrauch von Bedienungshilfen. Zudem verschleiert die App ihre Aktionen mit Overlays, beobachtet, welche Anwendungen laufen, und meldet diese Liste an ihren Befehlsserver, um zum passenden Moment eine Fake-Oberfläche einzublenden und Daten abzugreifen. Registriert wurden Kampagnen in Italien (als Banca Sicura) und in Brasilien (als Modulo Seguranca Stone).
Der Unterschied: Die automatisierten Interaktionen wirken überraschend menschenähnlich und erschweren damit Tools die Arbeit, die Eingabegeschwindigkeit und -rhythmus überwachen. Fachleute mahnen, dass Routineabwehr allein nicht immer reicht. Am Verhalten ändert das wenig: Apps nicht aus unsicheren Quellen installieren, verdächtige Links meiden und auf die eingebauten Schutzfunktionen von Android setzen, darunter Google Play Protect. Das deutet an, wohin sich das Katz-und-Maus-Spiel entwickelt: Selbst einfache Gesten lassen sich inzwischen so überzeugend fälschen, dass sie für echt gehalten werden — umso wichtiger sind konsequente Nutzungsgewohnheiten und Schutzmechanismen auf Plattformebene.