Registrieren Anmelden
RegistrierenAnmelden
Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Breadcrumb-Navigation
Mit <kes>+ lesen

Herodotus: Neuer Android-Trojaner imitiert menschliches Tippen für Kontoübernahmen : Banking-Malware als Dienst nutzt Accessibility-Missbrauch, Overlay-Seiten und verzögerte Eingaben zur Umgehung von Anti-Fraud-Systemen

Herodotus, ein neuer Android-Trojaner, führt Device-Takeover-Angriffe in Italien und Brasilien durch. Als Malware-as-a-Service angeboten, missbraucht er Bedienungshilfe-Funktionen, zeigt gefälschte Anmeldebildschirme und simuliert menschliches Tippen, um verhaltensbasierte Betrugserkennung auszuhebeln. Jetzt weitet die Kampagne ihr Zielgebiet weltweit aus.

THN/Stefan Mutschler (freier Journalist)Bedrohungen
Lesezeit 4 Min.

Herodotus wurde laut Analyse von ThreatFabric am 7. September 2025 erstmals in Untergrundforen als Teil des Malware-as-a-Service-Modells angeboten. Die Entwickler geben an, dass sich die Schadsoftware auf Endgeräten mit Android in den Versionen 9 bis 16 ausführen lässt. Obwohl Herodotus nicht als direkte Evolution des Banking-Trojaners Brokewell eingeschätzt wird, finden sich Hinweise auf Wiederverwendung von Techniken und sogar direkte Verweise auf Brokewell, etwa durch interne Bezeichner wie „BRKWL_JAVA“.

ThreatFabric bringt die Absicht der Entwickler auf den Punkt: „Herodotus wurde entwickelt, um Geräte zu übernehmen und dabei menschliches Verhalten so glaubwürdig nachzuahmen, dass verhaltensbasierte Erkennungssysteme ausgehebelt werden.“

Angriffsvektor und technische Fähigkeiten

Herodotus verbreitet sich in der Regel über Trägeranwendungen, sogenannte Dropper, die sich als Google Chrome tarnen und etwa den Paketnamen com.cd3.app tragen. Die Infektion erfolgt über SMS-Phishing oder andere Formen sozialer Manipulation. Nach der Installation missbraucht die Schadsoftware die Schnittstelle für Bedienungshilfen des Betriebssystems, um Bildschirminteraktionen zu automatisieren, Eingaben zu steuern und ihre schädlichen Aktivitäten geschickt zu verschleiern.

Zu den technischen Fähigkeiten gehören unter anderem:

  • Anzeige und Einsatz undurchsichtiger Overlay-Seiten, um bösartige Aktivitäten zu verschleiern.
  • Anzeige gefälschter Loginseiten über legitime Finanzanwendungen zur Erfassung von Zugangsdaten.
  • Abgreifen von Zwei-Faktor-Authentifizierungs-Codes, die per Kurzmitteilung übermittelt werden.
  • Abfangen sämtlicher auf dem Bildschirm dargestellten Inhalte.
  • Selbstständiges Erteilen zusätzlicher Berechtigungen nach Bedarf.
  • Auslesen des Sperrbildschirm-PIN oder Musters.
  • Installation zusätzlicher Anwendungen aus der Ferne.

Diese Funktionalitäten entsprechen bekannten Mustern moderner Android-Banking-Trojaner, unterscheiden sich jedoch in einem zentralen Detail: der Versuch, automatisierte Eingaben menschlich erscheinen zu lassen.

Mensch-typisches Tippen als Erkennungsvermeidungsstrategie

Das Alleinstellungsmerkmal von Herodotus ist die gezielte Randomisierung der Verzögerung zwischen Tastenanschlägen bei ferngesteuerten Texteingaben. ThreatFabric dokumentiert, dass die spezifizierte Verzögerung im Bereich von 300 bis 3000 Millisekunden liegt. Übersetzt bedeutet dies: Zwischen Eingabeereignissen wird ein zufälliges Intervall zwischen 0,3 und 3 Sekunden eingefügt.

ThreatFabric erklärt: „Die zufällige Verzögerung zwischen einzelnen Tastenanschlägen entspricht dem typischen Tippverhalten eines Benutzers. Durch bewusst eingebaute Pausen versuchen die Täter offenbar, verhaltensbasierte Anti-Fraud-Systeme, die maschinell schnelle Eingaben erkennen, zu täuschen.“

Diese Maßnahmen zielen gezielt auf Systeme, die ausschließlich Zeitmuster und Interaktionsverhalten auswerten. Indem die Malware menschliche Pausen nachahmt, sinkt die Erkennungsrate solcher Heuristiken.

Geografische Ausweitung und Zielgruppen

ThreatFabric entdeckte Overlay-Seiten, die gegen Finanzorganisationen in den Vereinigten Staaten, in der Türkei, im Vereinigten Königreich und in Polen eingesetzt wurden. Die ersten Kampagnen richteten sich nachweislich gegen Nutzer in Italien und Brasilien; die Betreiber verfolgen offenbar eine internationale Ausweitung.

Technische Einordnung und Entwicklungsstand

Laut ThreatFabric befindet sich der Angriff „in aktiver Entwicklung, entlehnt Techniken, die lange mit dem Brokewell-Banking-Trojaner assoziiert sind, und scheint darauf ausgerichtet zu sein, innerhalb laufender Sitzungen persistent zu bleiben statt nur statische Zugangsdaten zu stehlen und sich auf Kontoübernahmen zu konzentrieren.“

Diese anhaltende Präsenz innerhalb aktiver Sitzungen macht Herodotus besonders gefährlich: Anstatt einmalige Zugangsdaten zu exfiltrieren, kann die Malware den Sitzungskontext ausnutzen und eine dauerhafte Kontrolle anstreben.

GhostGrab: Android-Malware stiehlt Bankdaten und schürft heimlich Kryptowährung

CYFIRMA berichtet zeitgleich über eine neue Android-Schadsoftware namens GhostGrab, die zwei Angriffszwecke miteinander verbindet: Sie stiehlt systematisch Bankdaten und schürft heimlich die Kryptowährung Monero auf infizierten Geräten. Damit verschaffen sich die Täter eine doppelte Einnahmequelle. Nach bisherigen Erkenntnissen richtet sich die Kampagne derzeit noch vor allem gegen Android-Nutzer in Indien. Eine globale Ausweitung nach den Erfahrungen in diesem „Testmarkt“ ist auch hier wahrscheinlich.

Die Schadsoftware verbreitet sich über eine Dropper-App, die sich als seriöse Finanzanwendung tarnt. Diese App fordert die Berechtigung REQUEST_INSTALL_PACKAGES an, um weitere Anwendungen direkt zu installieren – ohne den Google Play Store zu verwenden. Nach der Installation verlangt der eigentliche Schadcode besonders weitreichende Zugriffsrechte: Er kann Anrufe weiterleiten, Kurzmitteilungen mitlesen und gefälschte Webseiten anzeigen, die wie echte Identifizierungsformulare aussehen. Auf diese Weise sammelt GhostGrab Kreditkartendaten, vierstellige Geldautomaten-PINs und staatliche Identifikationsnummern wie die indische Aadhaar-Nummer.

„GhostGrab ist eine hybride Bedrohung, die heimliches Kryptomining mit umfassendem Datendiebstahl verbindet“, erklärt CYFIRMA. „Sie wurde entwickelt, um gezielt sensible Finanzinformationen abzugreifen – von Bankzugängen über Debitkartendaten bis hin zu Einmalpasswörtern, die per Kurzmitteilung verschickt werden.“

Einordnung für Sicherheitsverantwortliche

Für Sicherheitsverantwortliche in Unternehmen ergibt sich aus diesen Entwicklungen: Mobile Bedrohungen lassen sich nur mit einem mehrstufigen Schutzkonzept wirksam abwehren. Dazu gehören:

  • eine sorgfältige Verwaltung von Berechtigungen,
  • die Erkennung missbräuchlicher Nutzung von Bedienungshilfen,
  • ein Monitoring von App-Installationen, sowie
  • die Überwachung von Overlay-Aktivitäten.

Ergänzend sollten Mitarbeitende durch Schulungen gegen SMS-Phishing sensibilisiert werden, und es sollten Mehrfaktorverfahren eingesetzt werden, die nicht allein auf Kurzmitteilungen beruhen.

 Fazit

Herodotus markiert eine neue Entwicklungsstufe mobiler Banking-Malware. Die Schadsoftware beschränkt sich nicht mehr darauf, klassische Trojanerfunktionen zu kopieren, sondern ahmt gezielt menschliches Verhalten nach, um Erkennungssysteme zu täuschen. Die Kombination aus dem Missbrauch von Bedienungshilfen, dem Einsatz von Overlay-Techniken und der zeitlichen Zufallssteuerung von Eingaben zeigt, wie anpassungsfähig und modular moderne Malware-as-a-Service-Angebote inzwischen sind. Sicherheitsverantwortliche sollten mobile Sicherheit daher als festen Bestandteil der Unternehmens-IT begreifen und technische wie organisatorische Schutzmaßnahmen konsequent umsetzen.

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.