Herodotus: ein Bankentrojaner, der die Grenzen von Antivirus aufzeigt

In den letzten Wochen verbreitet sich der Android-Bankentrojaner Herodotus. Als Malware-as-a-Service (MaaS) angeboten, tarnt er sich als legitime App, um Nutzer dazu zu bringen, eine APK zu installieren. Nach der Installation fordert er sensible Berechtigungen an und kann das Smartphone fernsteuern, um Banktransaktionen im Namen des Opfers durchzuführen.

Eine moderne Mobile-Attacke, die für die meisten klassischen Antivirenlösungen allzu oft unsichtbar bleibt.

Herodotus in Kürze

Der Trojaner verbreitet sich über SMS-Phishing-Links, die auf eine Seite führen, auf der zum Download einer App aufgefordert wird. Der Nutzer installiert daraufhin eine APK außerhalb des Play Stores. Sobald Herodotus installiert ist und Berechtigungen erhalten hat, verlangt er kritische Rechte (insbesondere Barrierefreiheit/Accessibility), legt Überlagerungen (Overlays) über echte Apps, um den Nutzer zu täuschen, und kann Bildschirm sowie Tastatureingaben aufzeichnen. Sein Ziel ist die Sitzungsübernahme, also Transaktionen durchzuführen, während das Opfer eingeloggt ist.

Um Anti-Betrugsmechanismen zu umgehen, „humanisiert“ Herodotus seine Aktionen: zufällige Verzögerungen, Mikrobewegungen und realistische Tippmuster machen automatisierte Abläufe deutlich schwerer erkennbar.

Warum ein Antivirus nicht ausreicht

Das Pradeo-Team hat die Schadsoftware in der Datenbank eines führenden Antivirus-Anbieters gesucht: Für den App-Inhalt wurde keinerlei Warnung angezeigt. Mit anderen Worten, Der Antivirus markierte die bösartige App nicht, obwohl sie bei einer einfachen OSINT-Recherche klar als schädlich erscheint.

Das liegt daran, dass Antiviren-Engines vor allem auf bekannten Signaturen und zuvor beobachtetem Verhalten basieren. Eine per SMS-Phishing bezogene und außerhalb des Play Stores installierte App kann beim Scan unter dem Radar bleiben, wenn ihr Code neu ist und die gefährlichen Aktionen erst nach der Installation und nach Erteilung der Berechtigungen ausgelöst werden.

Entscheidend ist hier das Aneinanderreihen mehrerer Kompromittierungsindikatoren über die Zeit: ein verdächtiger SMS-Link zu einer unbekannten Quelle, eine Off-Store-Installation, anschließende Anfragen nach kritischen Berechtigungen und schließlich sichtbare Anzeichen wie Bildschirmüberlagerungen, simulierte Interaktionen oder Bildschirmaufnahmen. Für sich genommen wirken diese Signale harmlos, in Kombination und Reihenfolge zeigen sie jedoch einen laufenden Angriff, den eine dateibasierte Antivirus-Logik leicht übersehen kann.

Wie Pradeo Mobile Threat Defense diesen Angriff stoppt

Im Unterschied zu einem Antivirus beobachtet eine Mobile-Threat-Defense (MTD)-Lösung das tatsächliche Verhalten des Geräts und greift an jedem wichtigen Schritt ein:

1. Blockieren des Phishing-Links :
   Dank des in die App Pradeo Security integrierten Anti-Phishing-Moduls wird der Zugriff auf die bösartige Seite direkt verhindert. Der Nutzer gelangt nie zur Download-Seite und kann die APK daher nicht beziehen.
   
   
2. Verhindern riskanter Installationen :
   Pradeo Mobile Threat Defense erkennt Apps aus unbekannter Quelle und warnt das Sicherheitsteam umgehend, um eine Kompromittierung zu vermeiden.
   
   
3. Überwachung von Berechtigungen und Verhalten :
   • Fordert eine App kritische Berechtigungen (z. B. Barrierefreiheit) an, wird sie sofort als potenziell bösartig eingestuft und in Quarantäne gesetzt, eine Geräteübernahme oder intrusive Aktionen werden dadurch verhindert.
   • Die Lösung überwacht außerdem UI und Systemverhalten (Überlagerungen, simulierte Eingaben, ungewöhnliche Netzwerkaktivität). Sobald eine bösartige Overlay-Aktivität erkannt wird, wird der Zugriff auf sensible Anwendungen sofort unterbrochen.

Der Fall Herodotus bestätigt: Klassische Antivirenlösungen sind modernen mobilen Bedrohungen nicht gewachsen, die Social Engineering, Off-Store-Installationen und den Missbrauch sensibler Berechtigungen kombinieren.
Um Mitarbeitende und Unternehmensdaten wirksam zu schützen, ist heute eine Mobile-Threat-Defense-Lösung (MTD) unerlässlich.