Herodotus: Android-Trojaner täuscht Banken mit menschlichem Verhalten

Ein neuer Banking-Trojaner für Android revolutioniert Cyber-Betrug: Herodotus imitiert menschliches Verhalten so perfekt, dass selbst moderne Betrugserkennung versagt. Niederländische Sicherheitsforscher von ThreatFabric warnen vor der Malware, die bereits aktiv Bankkunden in Italien und Brasilien angreift.

Das Besondere: Der Trojaner tippt Passwörter nicht in Maschinengeschwindigkeit ein, sondern macht bewusst Pausen von bis zu drei Sekunden zwischen den Zeichen. Diese „Humanisierung” soll Sicherheitssysteme überlisten, die automatisierte Angriffe an der unnatürlich schnellen Eingabe erkennen.

Entwickelt wurde Herodotus vom Cyberkriminellen „K1R0″, der die Malware als Malware-as-a-Service (MaaS) in Untergrundforen anbietet. Dadurch können auch weniger technisch versierte Kriminelle auf die ausgeklügelten Funktionen zugreifen.

Die Infektion startet klassisch per SMS-Phishing: Nutzer erhalten vermeintlich wichtige Nachrichten mit Links zu scheinbar harmlosen Apps wie Google Chrome oder Sicherheitsupdates. In Italien tarnte sich die Malware als „Banca Sicura” (Sichere Bank), in Brasilien als „Modulo Seguranca Stone”.

Einmal installiert, fordert die App den Nutzer auf, die Android-Bedienungshilfen zu aktivieren. Während ein gefälschter Ladebildschirm angezeigt wird, verschafft sich Herodotus heimlich alle nötigen Systemrechte.

Mit diesen Berechtigungen kann der Trojaner Bildschirmklicks ausführen, SMS-basierte Zwei-Faktor-Codes abfangen und alles protokollieren, was auf dem Display erscheint. Besonders gefährlich sind die Overlay-Attacken: Fake-Login-Masken werden über echte Banking-Apps gelegt und stehlen so die Zugangsdaten der Nutzer.
Anzeige: Übrigens: Wer sich vor Android-Trojanern wie Herodotus, Phishing-SMS und Overlay-Attacken schützen möchte, sollte die 5 wichtigsten Sicherheitsmaßnahmen kennen. Ein kostenloser Ratgeber erklärt Schritt für Schritt, wie Sie Ihr Android ohne teure Zusatz-Apps absichern – von geprüften App-Quellen über Berechtigungen bis zu Play Protect und 2‑Faktor-Schutz. Ideal für WhatsApp, Online-Banking und PayPal-Nutzer. Jetzt kostenloses Android-Sicherheitspaket herunterladen

Globale Expansion bereits im Gange

ThreatFabric-Analysten identifizierten bereits Overlay-Seiten für Finanzinstitute in den USA, Großbritannien, der Türkei und Polen. Das zeigt die internationale Ausrichtung der Kriminellen.

Google bestätigt, dass der Play Store selbst nicht betroffen ist. Das integrierte Play Protect erkenne bekannte Versionen der Malware automatisch und könne Nutzer auch vor extern installierten Apps warnen.

Neue Ära der Cyber-Kriminalität

Herodotus markiert einen Wendepunkt in der mobilen Malware-Entwicklung. Die Verbindung zum bereits bekannten Brokewell-Trojaner deutet auf eine kollaborative Untergrund-Szene hin, die erfolgreiche Techniken kontinuierlich weiterentwickelt.

Da sich die Malware noch in aktiver Entwicklung befindet, rechnen Sicherheitsexperten mit weiteren Funktionen und einer globalen Ausbreitung. Das MaaS-Modell garantiert eine breite Adoptierung durch verschiedene Akteure.

Banken stehen vor der Herausforderung, ihre Betrugserkennungssysteme zu überdenken. Reine zeitbasierte Analysen greifen nicht mehr – gefragt sind komplexere Systeme, die nutzerspezifische Verhaltensmuster und Gerätezustände überwachen.

Für Android-Nutzer bleibt der beste Schutz die Vorsicht: Niemals Apps aus unbekannten Quellen installieren und verdächtige SMS-Links ignorieren.