.jpg)
-1.png)
Un nouveau trojan bancaire Android, Herodotus, circule ces dernières semaines. Proposé en Malware-as-a-Service (MaaS), il se déguise en application légitime pour inciter l’utilisateur à installer un APK. Après installation, il réclame des autorisations sensibles et peut prendre la main sur le téléphone pour effectuer des opérations bancaires à la place de l’utilisateur.
Une attaque mobile moderne, trop souvent invisible pour la plupart des antivirus classiques.
Herodotus en bref
Le trojan bancaire se propage via un lien de phishing par SMS qui redirige vers une page invitant à télécharger une application. L’utilisateur installe alors un APK en dehors du Play Store. Une fois installé et autorisé, Herodotus réclame des permissions critiques (notamment Accessibility), installe des écrans en surcouche par-dessus les vraies applications pour tromper l’utilisateur, et peut capturer l’écran ainsi que les frappes clavier. Son objectif est la prise de session, c’est-à-dire effectuer des opérations pendant que la victime est connectée.
Pour contourner les systèmes anti-fraude, il “humanise” ses actions, avec des délais aléatoires, micro-mouvements, rythme de frappe réaliste, de quoi rendre l’automatisation beaucoup plus difficile à repérer.
Pourquoi un antivirus ne suffit pas
Nos équipes Pradeo ont cherché le malware dans la base de données d’un antivirus leader : aucune alerte n’était affichée sur le contenu de l’application. Autrement dit, l’antivirus n’a pas signalé l’application malveillante, alors que celle-ci ressort bien comme telle avec une simple recherche sur les moteurs de recherche.
Cette situation s’explique par le mode de détection des antivirus, qui repose surtout sur des signatures et des comportements déjà répertoriés. Une application malveillante obtenue via phishing par SMS et installée hors Play Store peut passer sous le radar lors d’un scan si son code est encore peu connu et si ses actions dangereuses ne se déclenchent qu’après l’installation et l’octroi des autorisations.
La clé de la détection, ici, tient au chaînage d'indicateurs de compromissions multiples : lien SMS douteux menant à une source inconnue, installation hors store, demandes d’autorisations critiques, puis éléments visibles comme des surcouches d’écran, des interactions simulées ou de la capture d’écran.
Pris isolément, ces signaux peuvent paraître bénins, mais considérés ensemble et dans l’ordre d’apparition, ils révèlent une attaque en cours, ce que la logique d’un antivirus peut manquer.
Comment Pradeo Mobile Threat Defense bloque cette attaque
À la différence d’un antivirus, une solution de Mobile Threat Defense (MTD) observe le comportement réel du terminal et intervient à chaque étape clé :
- Blocage du lien de phishing :
Grâce au module anti-phishing intégré à l’application Pradeo Security, l’accès à la page malveillante est directement empêché. L’utilisateur n’atteint jamais la page de téléchargement et ne peut donc pas récupérer l’APK. - Empêchement de l’installation risquée :
La solution Pradeo Mobile Threat Defense détecte qu’une application provient d’une source inconnue et alerte immédiatement l’équipe sécurité afin d’éviter toute compromission. - Surveillance des permissions et des comportements :
- Avec Pradeo Mobile Threat Defense, toute demande d’autorisation critique (comme l’Accessibilité) signale immédiatement l’application comme potentiellement malveillante. Elle est alors placée en quarantaine, ce qui l’empêche de prendre le contrôle du terminal ou d’exécuter des actions intrusives
- Notre solution surveille aussi les comportements d’interface et systèmes (surcouches d’écran, interactions simulées, activité réseau anormale). Au moindre overlay malveillant, l’accès aux applications sensibles est coupé immédiatement.
L’exemple d’Herodotus le confirme : les antivirus ne sont pas adaptés aux menaces mobiles modernes, qui combinent ingénierie sociale, installation hors store et comportement sensibles. Pour protéger efficacement les collaborateurs et les données professionnelles, une solution de protection de flotte mobile (MTD) est aujourd’hui essentielle.
.jpg?height=100&name=1711636314862%20(1).jpg)
-2.png)
