Herodotus : un nouveau malware Android qui simule un utilisateur pour contourner la sécurité

Des experts de Threat Fabric ont identifié un nouveau logiciel malveillant ciblant les smartphones Android. Baptisé Herodotus, ce malware se distingue par sa capacité à imiter le comportement humain afin d’eviter les mécanismes de détection et d’obtenir des accès sensibles sur l’appareil.

Mode d’infection

L’attaque débute par l’envoi d’un SMS frauduleux contenant un lien vers une fausse application. En cliquant sur ce lien, la victime télécharge un programme initial (dropper) dont l’unique fonction est d’installer la charge utile, Herodotus. Une fois installé, le malware tente d’obtenir les autorisations d’accessibilite, indispensables pour contrôler l’interface Android.

Pour masquer les étapes critiques de la configuration, Herodotus affiche un écran de chargement factice pendant la demande d’autorisations. L’utilisateur a ainsi peu de chances de se rendre compte qu’il octroie des droits à un logiciel malveillant.

Une simulation de l’utilisateur

Avec les droits d’accessibilite, Herodotus peut interagir avec l’interface comme un utilisateur : toucher l’ecran, faire défiler, revenir en arriere et saisir du texte dans n’importe quelle application, y compris les apps bancaires ou de cryptomonnaie. Pour eviter d’etre detecte par les solutions comportementales, le malware intègre un module baptise « humanizer » qui rend sa saisie plus proche de celle d’une personne réelle.

Ce module introduit des delais aleatoires de 0,3 a 3 secondes entre chaque caractere saisi, simulant des pauses et des variations de cadence humaines. Selon Threat Fabric, « les systemes de detection comportementale basiques, qui se contentent de mesurer les delais de saisie, peuvent generer des evaluations de risque erronees et sous-estimees, ce qui permet justement au malware de passer entre les mailles du filet ».

Risques et capacites

Une fois au controle, l’attaquant peut :

• envoyer des SMS malicieux,
• afficher des ecrans de connexion factices pour voler identifiants et clés privees,
• intercepter des codes de verification recus par SMS,
• siphonner des comptes ou vider des portefeuilles de cryptomonnaies.

Distribution et recommandations

Herodotus est actuellement propose comme Malware-as-a-Service, ce qui facilite son utilisation par des hackers peu qualifies via un abonnement payant. Les attaques identifiees ciblent principalement l’Italie et le Bresil, mais d’autres pays pourraient etre touches. Les chercheurs ont deja observe plusieurs variantes du programme sur le web.

Conseils de prudence :

• Ne telechargez pas d’applications recues via SMS ou provenant de sources inconnues.
• Preferez le Google Play Store et les applications de developpeurs reconnus.
• Refusez les autorisations d’accessibilite pour des applications dont vous ne comprenez pas la necessite.

En cas de doute apres l’installation d’une application, desactiver rapidement les autorisations suspectes et analyser l’appareil avec un outil de securite reconnu est recommande.