Herodotus, nouveau cheval de Troie bancaire Android, simule des gestes humains pour tromper la détection, vole 2FA par SMS et abuse de l’Accessibilité.
© RusPhotoBank
Les chercheurs de ThreatFabric ont mis au jour un nouveau cheval de Troie bancaire pour Android, baptisé Herodotus. Sa singularité tient à une tactique peu courante: il simule un comportement humain, insérant des pauses aléatoires entre les pressions et imitant glissements et tapotements pour que les systèmes de détection prennent son activité pour celle d’un véritable utilisateur.
Pour le reste, Herodotus reprend les ficelles bien connues des malwares bancaires: écrans de connexion contrefaits, interception des codes SMS de 2FA et exploitation des permissions d’accessibilité. Il masque aussi ses actions via des superpositions, surveille les applications en cours d’exécution et transmet cette liste à son serveur de commande afin de déclencher, au moment opportun, une interface factice et soutirer des données. Des campagnes l’ayant utilisé ont été observées en Italie (sous l’apparence de Banca Sicura) et au Brésil (Modulo Seguranca Stone).
Ce qui le distingue, c’est que ses interactions automatisées paraissent crédibles, compliquant l’analyse des outils qui scrutent la vitesse et le rythme des saisies. Des spécialistes préviennent d’ailleurs que les défenses routinières peuvent s’avérer insuffisantes.
Le conseil pratique, lui, ne change pas: éviter d’installer des applications issues de sources non fiables, se tenir à distance des liens suspects et s’appuyer sur les protections intégrées d’Android, dont Google Play Protect. Difficile de ne pas y voir le signe d’un bras de fer qui se durcit: même des gestes élémentaires se reproduisent désormais assez fidèlement pour passer pour authentiques, raison de plus pour miser sur des habitudes d’usage disciplinées et des garde-fous au niveau de la plateforme.