Source: ThreatFabric — Le rapport dévoile « Herodotus », une nouvelle famille de malware Android orientée Device-Takeover, observée en campagnes actives en Italie et au Brésil, et proposée en Malware-as-a-Service (MaaS) par l’acteur « K1R0 ».

• Nature de la menace. Herodotus est un cheval de Troie bancaire Android conçu pour la prise de contrôle d’appareils (Device-Takeover). Il se distribue par side-loading via SMiShing menant à un dropper qui contourne les restrictions d’Android 13+ sur l’Accessibilité. Une fois le payload installé et le service d’Accessibilité activé, le malware utilise une overlay de blocage pour masquer l’octroi des permissions, collecte la liste des apps installées, et déploie des faux écrans (overlays) pour voler des identifiants.

• Capacité distinctive. Lors des sessions de contrôle à distance (clics, swipes, saisie texte, actions globales), Herodotus mimique le comportement humain en fractionnant les textes en caractères avec des délais aléatoires de 300 à 3000 ms, afin d’éviter la détection par des moteurs anti-fraude basés sur la vitesse de saisie ou des biométries comportementales rudimentaires. Le panneau opérateur comporte une option « Delayed text » activant cette saisie humanisée.

• Autres fonctionnalités. Le malware dispose d’un overlay de blocage opaque pour la victime (semi-transparent pour l’opérateur) afin de cacher les actions frauduleuses, notamment au-dessus des apps bancaires. Il inclut overlay d’hameçonnage, vol de SMS/2FA, journalisation d’Accessibilité, et partage d’écran (VNC/VNCA11Y). La communication C2 utilise le protocole MQTT, via le domaine google-firebase[.]digital avec plusieurs sous-domaines.

• Campagnes et liens. Des campagnes ont été observées en Italie (app nommée « Banca Sicura ») et au Brésil (app « Modulo Seguranca Stone »). Des pages d’overlay ciblent aussi des institutions aux États‑Unis, Turquie, Royaume‑Uni, Pologne, ainsi que des portefeuilles/échanges crypto. Herodotus réutilise des éléments de Brokewell (p. ex. chaîne « BRKWL_JAVA » et méthodes de clic), sans être une évolution directe ; le module chargé dynamiquement de Brokewell est utilisé de manière limitée et n’est pas entièrement compatible.

• Implications pour la détection. Selon ThreatFabric, les systèmes comportementaux basiques qui évaluent les timings de saisie risquent une sous‑évaluation du risque. Les moteurs modélisant le comportement individuel détecteront l’anomalie. La classification précise par famille/version aide également à éviter les contournements. En résumé, l’article présente une analyse de menace détaillant une famille MaaS en développement, optimisée pour persister en session et déjouer des contrôles anti‑fraude comportementaux.

IOCs (indicateurs de compromission):

  • Domaine C2: google-firebase[.]digital (sous-domaines observés: af45kfx, g24j5jgkid)
  • Échantillon (SHA-256): 53ee40353e17d069b7b7783529edda968ad9ae25a0777f6a644b99551b412083
  • Package Android observé: com.cd3.app
  • Noms d’apps leurres: “Banca Sicura”, “Modulo Seguranca Stone”

TTPs (techniques, tactiques et procédures):

  • Distribution via SMiShing + side-loading d’un dropper
  • Abus du service d’Accessibilité pour contrôle et permissions
  • Overlays de phishing pour vol d’identifiants et overlay de blocage pour masquer les actions
  • Saisie texte humanisée (délais aléatoires 300–3000 ms)
  • Vol de SMS/2FA, journalisation d’Accessibilité, partage d’écran (VNC/VNCA11Y)
  • C2 sur MQTT (domaine google-firebase[.]digital)
  • Ciblage guidé par la liste des apps installées et chargement d’overlays associés

Type d’article: Analyse de menace publiée par ThreatFabric, visant à documenter une nouvelle famille de malware Android, ses capacités, ses campagnes et leurs implications pour la détection.

🧠 TTPs et IOCs détectés

TTP

[‘Distribution via SMiShing + side-loading d’un dropper’, ‘Abus du service d’Accessibilité pour contrôle et permissions’, ‘Overlays de phishing pour vol d’identifiants et overlay de blocage pour masquer les actions’, ‘Saisie texte humanisée (délais aléatoires 300–3000 ms)’, ‘Vol de SMS/2FA’, ‘Journalisation d’Accessibilité’, ‘Partage d’écran (VNC/VNCA11Y)’, ‘C2 sur MQTT (domaine google-firebase[.]digital)’, ‘Ciblage guidé par la liste des apps installées et chargement d’overlays associés’]

IOC

{‘domaine’: ‘google-firebase[.]digital’, ‘sous-domaines’: [‘af45kfx’, ‘g24j5jgkid’], ‘hash’: ‘53ee40353e17d069b7b7783529edda968ad9ae25a0777f6a644b99551b412083’, ‘package_android’: ‘com.cd3.app’, ’noms_apps_leurres’: [‘Banca Sicura’, ‘Modulo Seguranca Stone’]}

🔗 Source originale : https://www.threatfabric.com/blogs/new-android-malware-herodotus-mimics-human-behaviour-to-evade-detection