安卓木马 Herodotus 模拟人类输入习惯，精准绕过反欺诈系统

HackerNews 编译，转载请注明出处：

网络安全研究人员近日披露一款名为Herodotus的新型安卓银行木马细节。该恶意软件目前正活跃于意大利和巴西，专门实施设备接管攻击。

荷兰安全公司ThreatFabric在报告中指出："Herodotus木马在执行设备接管攻击时，首次尝试模拟人类操作行为以绕过行为生物特征识别检测。"该木马于2025年9月7日在地下论坛作为恶意软件即服务进行推广，声称支持Android 9至16系统。

技术特征与传播手段

分析显示，虽然该木马并非直接由另一知名银行恶意软件Brokewell演化而来，但确实借鉴了其部分技术特征，包括相似的混淆技术，代码中甚至直接出现"BRKWL_JAVA"等Brokewell相关标识。

与其他安卓恶意软件一样，Herodotus通过滥用无障碍服务实现其目标。它通过短信钓鱼等社交工程手段，伪装成谷歌浏览器应用进行传播。一旦安装，便会利用无障碍功能进行屏幕交互、显示不透明覆盖界面隐藏恶意活动，并在金融应用上层显示虚假登录界面窃取凭证。

此外，该木马还能窃取短信验证码、截取屏幕显示内容、自主提升权限、获取锁屏PIN码或图案，并远程安装APK文件。

独特攻击手法：模拟人类行为

该木马的突出特点在于其人性化欺诈能力。具体而言，它能在执行远程操作时引入随机延迟，例如在设备上输入文本时。ThreatFabric解释称："延迟时间设定在300-3000毫秒之间，这种文本输入间隔的随机化确实符合人类的输入习惯。通过刻意设置随机延迟，攻击者很可能试图规避仅依赖行为分析的反欺诈系统对机器输入速度的检测。"

研究人员还获得了该木马用于攻击美国、土耳其、英国、波兰的金融机构以及加密货币钱包和交易所的覆盖页面，表明其运营者正积极扩展攻击范围。

ThreatFabric强调："该恶意软件处于活跃开发阶段，借鉴了Brokewell银行木马的长期技术积累，其设计初衷显然是为了在活跃会话中持续驻留，而非简单地窃取静态凭证实施账户接管。"

消息来源：thehackernews；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文