Herodotus : un nouveau cheval de Troie bancaire qui imite la frappe humaine pour échapper aux défenses

Des chercheurs en cybersécurité ont identifié un cheval de Troie bancaire inédit, nommé Herodotus. Sa particularité : plutôt que d’agir de façon instantanée et automatisée, il reproduit la cadence d’un utilisateur humain pour contourner les dispositifs anti-fraude.

La technique d’« humanisation »

Selon Threat Fabric, qui a découvert le malware, l’innovation d’Herodotus réside dans son mécanisme d’« humanisation ». Lorsqu’il prend le contrôle d’un appareil via les services d’accessibilité Android, il ne colle pas simplement des identifiants d’un coup. Il simule la saisie en tapant chaque caractère séparément, en insérant un délai aléatoire compris entre 0,3 et 3 secondes entre chaque frappe. Ce ralentissement volontaire vise à imiter un utilisateur hésitant ou prudent et à échapper aux systèmes de détection qui repèrent les actions automatisées.

Mode d’infection

La campagne d’infection suit un schéma classique : du « smishing » (phishing par SMS). Des victimes, notamment au Brésil et en Italie, reçoivent des messages les incitant à installer une fausse application de sécurité bancaire — par exemple « Banca Sicura » en Italie ou « Modulo Seguranca Stone » au Brésil. Une fois installée, l’application demande l’activation des services d’accessibilité d’Android, une autorisation qui lui permet de contrôler l’écran et d’interagir avec d’autres applications.

Fonctions et objectifs

Herodotus a un objectif financier clair. Une fois les permissions obtenues, il déploie plusieurs techniques :

• affichage de fausses pages de connexion par superposition (overlay) au-dessus d’applications bancaires et de cryptomonnaies ;
• interception des SMS pour récupérer les codes d’authentification à deux facteurs ;
• utilisation d’un kit vendu en Malware-as-a-Service (MaaS), ce qui permet à de nombreux cybercriminels d’exploiter l’outil.

Liens avec d’autres malwares

Threat Fabric relève qu’Herodotus réutilise des composants du malware Brokewell, découvert l’année précédente, et qu’il pourrait provenir du même développeur, connu sous le pseudonyme « K1R0 ». Le malware est en développement actif, ce qui laisse craindre une extension de ses cibles vers d’autres pays, comme les États-Unis, le Royaume‑Uni et la Pologne.

Foire aux questions

Qu’est‑ce qu’une attaque par superposition (overlay) ?

Une attaque par overlay consiste à afficher une fenêtre factice (par exemple une page de connexion) par-dessus une application légitime. L’utilisateur croit saisir ses identifiants dans l’application réelle, alors qu’il les envoie en réalité aux attaquants.

Comment les banques détectent‑elles les fraudes « robotiques » ?

Les systèmes modernes de prévention de la fraude analysent non seulement les identifiants mais aussi des signaux comportementaux (biométrie comportementale) : vitesse de frappe, gestes, tenue du téléphone, etc. Une saisie instantanée ou un collage immédiat peut indiquer une action automatisée ; la simulation d’une saisie humaine permet d’éviter ce type d’alerte.

Comment se protéger d’Herodotus ?

• Ne pas installer d’applications (fichiers APK) en dehors du Google Play Store officiel, sauf si vous êtes certain de la source.
• Ne jamais accorder les permissions des services d’accessibilité à une application qui n’en a pas strictement besoin (par exemple, une application prétendant être un antivirus non vérifié).
• Privilégier l’authentification forte et, si possible, des méthodes d’authentification ne reposant pas uniquement sur des SMS.

En résumé, Herodotus illustre l’évolution des malwares bancaires vers des techniques plus « humaines », conçues pour tromper les mécanismes comportementaux de détection. La vigilance des utilisateurs et des institutions reste essentielle pour limiter l’impact de ces menaces.