Publié le 2025-11-02 12:15:00. Une nouvelle menace nommée Herodotus s’est infiltrée sur Android, capable de dérober des fonds bancaires et de s’emparer de portefeuilles numériques. Sa particularité : elle simule des comportements humains pour échapper aux détections.
Les chercheurs en cybersécurité de ThreatFabric alertent sur l’émergence d’un nouveau malware Android baptisé Herodotus. Conçu pour s’introduire dans les comptes bancaires et les portefeuilles numériques des utilisateurs, ce logiciel malveillant se distingue par sa capacité à imiter les interactions humaines afin de tromper les systèmes de sécurité.
- Herodotus se propage via des canaux de distribution de malwares Android connus.
- Il exploite des fausses pages de connexion, l’interception de SMS et l’abus des autorisations d’accessibilité.
- Sa particularité réside dans l’imitation des mouvements humains lors des interactions, avec des délais calculés entre 0,3 et 3 secondes.
Contrairement à d’autres chevaux de Troie bancaires qui opèrent généralement à grande vitesse, Herodotus introduit des pauses aléatoires dans ses actions, rendant sa détection par les algorithmes beaucoup plus complexe. Une fois activé, souvent via un « dropper » ou un lien de phishing par SMS (smishing), le malware sollicite l’activation des services d’accessibilité de l’appareil et utilise des superpositions d’écran pour masquer ses activités frauduleuses.
À l’insu des victimes, Herodotus parvient ainsi à subtiliser leurs identifiants bancaires ou à initier des transactions financières. Le malware est également capable de communiquer au serveur de commande et de contrôle la liste des applications installées sur l’appareil. Cette information permet aux cybercriminels de savoir quand une application bancaire ou de portefeuille numérique est ouverte par la victime, afin de déployer une fausse page de connexion ciblée.
Des campagnes associées à Herodotus ont été identifiées en Italie et au Brésil. Un porte-parole de Google a confirmé qu’à la date du 11 janvier 2025, aucune application infectée par ce malware n’avait été détectée sur le Google Play Store. « Les utilisateurs d’Android bénéficient d’une protection automatique contre les versions connues de ce malware grâce à Google Play Protect, qui est activé par défaut sur les appareils Android dotés des services Google Play », a précisé le porte-parole, relayé par le média Android Authority.
Il est rappelé aux utilisateurs d’appareils Android de rester vigilants : ne télécharger des applications qu’à partir de sources fiables comme le Play Store, se méfier des liens suspects reçus par SMS ou email, et s’assurer que les fonctionnalités de sécurité, telles que Play Protect, sont toujours activées.