Publié le 28 octobre 2025. Une nouvelle menaceAndroid, baptisée « Herodotus », se propage dans le monde. Ce cheval de Troie bancaire est conçu pour échapper aux systèmes de détection en simulant la lenteur et les hésitations humaines lors de la saisie d’informations sensibles.
- Le malware « Herodotus » introduit des pauses aléatoires allant jusqu’à trois secondes pour contourner les systèmes anti-fraude basés sur le comportement des machines.
- Il exploite les services d’accessibilité Android, une fonctionnalité légitime détournée pour voler des identifiants bancaires et intercepter des codes d’authentification.
- Des similitudes avec le cheval de Troie bancaire Brokewell ont été identifiées, suggérant une possible collaboration ou un partage de code dans le milieu de la cybercriminalité.
La particularité de « Herodotus » réside dans sa capacité à masquer ses activités malveillantes. Les systèmes de détection comportementale qui recherchent une vitesse de saisie inhabituelle, typique d’une machine, peuvent être trompés par les délais introduits par ce nouveau malware. Ce dernier simule ainsi le comportement d’un utilisateur humain lors de l’accès à des applications bancaires, rendant plus difficile l’identification d’une activité frauduleuse. Si les systèmes de biométrie comportementale avancés pourraient encore le repérer, ceux se basant uniquement sur la synchronisation des entrées sont particulièrement vulnérables.
La distribution de ce cheval de Troie s’effectue principalement par le biais de téléchargements latéraux d’applications. Les cybercriminels incitent souvent les victimes à accorder des autorisations de haut niveau aux applications malveillantes en exploitant la fonction d’accessibilité d’Android. Ce mécanisme, initialement conçu pour aider les personnes en situation de handicap, est détourné pour permettre au malware de capturer des informations sensibles, notamment via de fausses superpositions de sites bancaires et un module de vol de SMS pour intercepter les codes d’authentification à usage unique.
Lors de leurs analyses, les chercheurs de ThreatFabric ont découvert des recoupements avec « Brokewell », un autre cheval de Troie bancaire découvert en avril 2024. Cette observation suggère que les développeurs de « Herodotus » auraient eu accès à un module précompilé de Brokewell. Bien que le malware soit actuellement actif en Italie et au Brésil, son code référence des pages superposées ciblant des institutions financières et des plateformes de cryptomonnaies aux États-Unis, au Royaume-Uni, en Pologne et en Turquie. ThreatFabric anticipe une évolution et une diffusion mondiale de « Herodotus » dans les prochaines campagnes de cybercriminalité.