New Herodotus Android malware fakes human typing to avoid detection

Herodotus : le nouveau malware Android qui imite le comportement humain pour tromper la sécurité

Une nouvelle famille de malwares Android, baptisée Herodotus, se distingue par sa capacité à simuler une frappe humaine grâce à l’injection aléatoire de délais lors des interactions avec l’appareil. Cette technique vise à déjouer les systèmes de détection basés sur l’analyse du comportement des utilisateurs.

Proposé sous forme de service (Malware-as-a-Service), Herodotus est distribué par des cybercriminels motivés par le gain financier, qui seraient les mêmes que ceux derrière le malware Brokewell. Actuellement, il cible des utilisateurs en Italie et au Brésil via des campagnes de smishing (hameçonnage par SMS).

Les SMS malveillants contiennent un lien vers un programme d’installation qui déploie le malware et tente de contourner les restrictions de permissions d’accessibilité introduites dans les versions récentes d’Android. Pour ce faire, le programme d’installation ouvre les paramètres d’accessibilité, invite l’utilisateur à activer le service, puis affiche un faux écran de chargement pour masquer l’octroi des permissions.

Une fois ces permissions obtenues, Herodotus peut interagir avec l’interface utilisateur d’Android, incluant la saisie de texte. Pour échapper à la détection, il utilise un mécanisme “humanizer” qui introduit des délais aléatoires (entre 0,3 et 3 secondes) entre chaque action de saisie, imitant ainsi la façon dont un humain taperait. Cette randomisation est une nouveauté, vraisemblablement conçue pour tromper les solutions anti-fraude basées sur l’analyse comportementale.

Outre cette technique de camouflage, Herodotus offre aux opérateurs :

• Un panneau de contrôle pour personnaliser les SMS.
• Des pages d’aperçu imitant des applications bancaires ou de cryptomonnaies pour voler des identifiants.
• Des superpositions opaques pour dissimuler les activités frauduleuses.
• Un module d’extraction de SMS pour intercepter les codes d’authentification à deux facteurs.
• La capacité de capturer le contenu de l’écran.

Plusieurs acteurs malveillants utilisent déjà Herodotus, comme en témoigne la détection de sept sous-domaines distincts.

Points clés :

• Nouvelle famille de malwares Android : Herodotus.
• Utilisation de délais aléatoires pour simuler la frappe humaine et échapper à la détection.
• Proposé en tant que Malware-as-a-Service (MaaS).
• Distribution via smishing, ciblant initialement l’Italie et le Brésil.
• Contournement des permissions d’accessibilité sur Android récent.
• Fonctionnalités incluant le vol d’identifiants, l’interception de SMS, la capture d’écran, etc.

Vulnérabilités :

• Bien qu’aucun CVE spécifique ne soit mentionné pour Herodotus lui-même, le malware exploite la nécessité de permissions sensibles (Accessibilité) et les mécanismes de distribution via des sources non officielles. Les versions récentes d’Android ont des protections accrues contre l’abus de ces permissions, mais Herodotus semble les contourner.

Recommandations :

• Éviter de télécharger des fichiers APK en dehors du Google Play Store.
• Vérifier la fiabilité des éditeurs d’applications.
• S’assurer que la protection Play Protect est activée.
• Examiner attentivement et révoquer les permissions potentiellement risquées pour les applications nouvellement installées, notamment la permission d’Accessibilité.

Source