Herodotus: novi Android trojanac se ponaša kao čovek da bi izbegao otkrivanje

Mobilni telefoni, 30.10.2025, 11:30 AM

Istraživači su otkrili novi Android bankarski malver nazvan Herodotus, koji se izdvaja po tome što se ponaša kao čovek dok napadač daljinski upravlja zaraženim uređajem, čime uspeva da zaobiđe detekciju bezbednosnih sistema.

Prema izveštaju holandske firme ThreatFabric, Herodotus je delo malo poznatog hakera koji reklamira malver na hakerskim forumima, a koji se potpisuje kao K1R0. Malver može preuzeti potpunu kontrolu nad telefonom žrtve kako bi ukrao novac iz aplikacija banaka i lozinke onlajn naloge.

Herodotus se već koristi u kampanjama u Italiji i Brazilu. U Italiji se maskirao u aplikaciju Banca Sicura, dok je u Brazilu koristio aplikaciju pod nazivom Modulo Seguranca Stone, lokalnog provajdera plaćanja.

ThreatFabric je takođe pronašao lažne stranice za preklapanje ekrana koje Herodotus može da prikaže preko legitimnih aplikacija banaka i kripto-platformi u SAD, Velikoj Britaniji, Turskoj, Poljskoj i drugim zemljama, što ukazuje da je malver u fazi aktivnog razvoja i da se može očekivati da će se dalje razvijati i koristiti u globalnim kampanjama.

Malver se širi putem SMS poruka koje korisnike navode da preuzmu lažnu aplikaciju. Nakon instalacije, Herodotus čeka da korisnik otvori ciljanu aplikaciju banke, a zatim prikazuje lažni interfejs (overlay) koji imitira izgled prave aplikacije i tako krade kredencijale za prijavu.

Takođe presreće SMS poruke sa jednokratnim kodovima i koristi Android Accessibility uslugu da bi čitao šta se prikazuje na ekranu uređaja.

Međutim, ključna inovacija je u načinu na koji se ponaša kada napadač preuzme kontrolu nad uređajem: umesto da automatski popunjava polja, Herodotus “kuca” svako slovo pojedinačno, uz nasumične pauze od 0,3 do 3 sekunde između pritisaka tastera, oponašajući ritam ljudskog kucanja.

Ovaj pristup otkrivanje malvera čini daleko težim, jer se ponaša kao stvarni korisnik, a ne automatizovani bot.

Bankarski trojanci poput Herodotusa više nisu samo alat za krađu lozinki. Oni omogućavaju potpuno preuzimanje kontrole nad uređajem, tako da napadači mogu da potvrde transakcije u aplikaciji, menjaju bankovne naloge za uplatu i pristupaju svim online računima korisnika.

Kako se zaštititi

» Ne preuzimajte aplikacije preko linkova u SMS-u ili mejlu.

» Uvek koristite Google Play Protect i redovno ažurirajte sistem.

» Uključite 2FA i nikada ne delite jednokratne kodove.

» Obratite pažnju na aplikacije koje traže pristup uslugama pristupačnosti (Accessibility Service) jer je to najčešće znak zloupotrebe.