Sicherheitsforscher haben eine neue Generation von Schadsoftware für Android-Geräte entdeckt, die es auf Bank- und Kryptowährungsinformationen abgesehen hat. Ein Trojaner namens Herodotus zeichnet sich durch seine Fähigkeit aus, menschliches Verhalten zu imitieren, um Sicherheitssysteme zu täuschen. Gleichzeitig kombiniert eine weitere Malware, GhostGrab, Datendiebstahl mit dem heimlichen Schürfen von Kryptowährungen.
Wichtige Erkenntnisse
- Ein neuer Android-Trojaner namens Herodotus zielt auf Bankkunden in Italien und Brasilien ab.
- Herodotus imitiert menschliche Tippverzögerungen, um verhaltensbasierte Sicherheitsanalysen zu umgehen.
- Die Malware wird als "Malware-as-a-Service" (MaaS) in Untergrundforen angeboten und unterstützt Android 9 bis 16.
- Ein weiterer Trojaner, GhostGrab, stiehlt in Indien Finanzdaten und schürft gleichzeitig Kryptowährungen auf infizierten Geräten.
- Beide Trojaner nutzen gefälschte Apps und die Bedienungshilfen von Android, um die Kontrolle über Geräte zu erlangen.
Herodotus: Eine neue Stufe der Täuschung
Sicherheitsexperten beobachten eine besorgniserregende Entwicklung bei mobiler Schadsoftware. Ein neu identifizierter Banking-Trojaner, der als Herodotus bezeichnet wird, nutzt fortschrittliche Techniken, um die vollständige Kontrolle über infizierte Android-Geräte zu übernehmen. Die Angriffe konzentrieren sich derzeit auf Nutzer in Italien und Brasilien, doch es gibt Hinweise auf eine geplante globale Ausweitung.
Die Malware wird seit dem 7. September 2025 in spezialisierten Online-Foren im Rahmen eines "Malware-as-a-Service"-Modells beworben. Dieses Geschäftsmodell ermöglicht es Kriminellen, die Schadsoftware für ihre eigenen Zwecke zu mieten, ohne über tiefgreifende technische Kenntnisse verfügen zu müssen. Die Entwickler werben damit, dass Herodotus auf einer breiten Palette von Android-Versionen von 9 bis 16 lauffähig ist.
Was ist Malware-as-a-Service (MaaS)?
MaaS ist ein kriminelles Geschäftsmodell, bei dem Entwickler Schadsoftware erstellen und diese an andere Kriminelle vermieten oder verkaufen. Die "Kunden" erhalten Zugang zu einem Dashboard, über das sie ihre Angriffe steuern und verwalten können, ähnlich wie bei legitimer Software-as-a-Service (SaaS). Dies senkt die Einstiegshürde für Cyberkriminalität erheblich.
Analysten stellen fest, dass Herodotus zwar keine direkte Weiterentwicklung des bekannten Trojaners Brokewell ist, aber deutliche technische Ähnlichkeiten aufweist. So werden beispielsweise ähnliche Verschleierungstechniken verwendet, und im Code finden sich direkte Verweise wie "BRKWL_JAVA", was auf eine Inspiration oder die Wiederverwendung von Code-Fragmenten hindeutet.
Wie Herodotus menschliches Verhalten imitiert
Die bemerkenswerteste Eigenschaft von Herodotus ist seine Fähigkeit, Betrugsversuche zu "vermenschlichen". Die Malware kann bei der ferngesteuerten Eingabe von Text auf dem kompromittierten Gerät zufällige Verzögerungen einfügen. Diese Pausen simulieren das natürliche Tippverhalten eines Menschen und sollen moderne Anti-Betrugs-Systeme austricksen, die auf Verhaltensbiometrie basieren.
Die von Herodotus eingefügten Verzögerungen bei Texteingaben liegen in einem Bereich von 300 bis 3000 Millisekunden (0,3 bis 3 Sekunden). Diese zufällige Variation entspricht dem typischen Verhalten eines menschlichen Nutzers und erschwert die Erkennung maschineller, automatisierter Eingaben.
Durch diese Methode versuchen die Angreifer, die Erkennung durch Sicherheitssysteme zu umgehen, die auf die Geschwindigkeit und Regelmäßigkeit von Eingaben achten. Eine maschinell schnelle und gleichmäßige Texteingabe wäre ein klares Warnsignal, das Herodotus gezielt vermeidet.
Die Verbreitung erfolgt über sogenannte Dropper-Apps, die sich als legitime Anwendungen wie Google Chrome ausgeben. Nutzer werden durch Phishing-SMS oder andere Social-Engineering-Methoden dazu verleitet, diese gefälschten Apps zu installieren. Einmal installiert, fordert die App weitreichende Berechtigungen an, insbesondere den Zugriff auf die Bedienungshilfen von Android.
Mit diesem Zugriff kann Herodotus eine Vielzahl schädlicher Aktionen durchführen:
- Diebstahl von Zugangsdaten: Anzeige gefälschter Anmeldeseiten über echten Banking-Apps.
- Abfangen von 2FA-Codes: Mitlesen von SMS-Nachrichten, um Zwei-Faktor-Authentifizierungscodes zu stehlen.
- Bildschirmaufzeichnung: Alles, was auf dem Bildschirm angezeigt wird, kann von den Angreifern eingesehen werden.
- Diebstahl der Bildschirmsperre: Erfassen des PINs oder Musters zum Entsperren des Geräts.
- Ferninstallation: Nachladen und Installieren weiterer schädlicher APK-Dateien.
Obwohl die Hauptziele bisher in Europa und Südamerika liegen, wurden bereits Overlay-Seiten für Finanzinstitute in den USA, der Türkei, Großbritannien und Polen sowie für diverse Kryptowährungs-Wallets entdeckt. Dies deutet auf die Ambitionen der Betreiber hin, ihre Reichweite deutlich zu vergrößern.
GhostGrab: Die doppelte Bedrohung aus Indien
Parallel zu Herodotus wurde eine weitere hochentwickelte Android-Malware namens GhostGrab identifiziert, die sich auf Nutzer in Indien konzentriert. Diese Schadsoftware verfolgt eine Doppelstrategie, die für die Angreifer besonders lukrativ ist.
Einerseits funktioniert GhostGrab als klassischer Banking-Trojaner. Er ist darauf ausgelegt, systematisch sensible Finanzdaten zu sammeln, darunter Bank-Anmeldedaten, Debitkartendetails und per SMS empfangene Einmalpasswörter (OTPs). Andererseits nutzt die Malware die Rechenleistung des infizierten Geräts, um im Verborgenen die Kryptowährung Monero zu schürfen. Dies schafft eine zweite, kontinuierliche Einnahmequelle für die Kriminellen.
Die Verbreitungsmethode ähnelt der von Herodotus. Eine Dropper-App, die sich als Finanzanwendung tarnt, fordert die Berechtigung zur Installation von Paketen an. Dadurch kann sie weitere schädliche Software ohne den Google Play Store auf dem Gerät installieren. Die Hauptnutzlast fordert dann aggressive Berechtigungen an, um Anrufe umzuleiten, SMS-Daten zu stehlen und gefälschte Web-Ansichten anzuzeigen. Diese ahmen oft KYC-Formulare ("Know Your Customer") nach, um Opfer zur Eingabe persönlicher Daten wie Kartennummern, PINs und staatlicher Identifikationsnummern zu bewegen.
"GhostGrab agiert als hybride Bedrohung, die verdeckte Kryptowährungs-Mining-Operationen mit umfassenden Fähigkeiten zur Datenexfiltration kombiniert."
Wie sich Android-Nutzer schützen können
Der Aufstieg solch ausgeklügelter Malware unterstreicht die Notwendigkeit erhöhter Wachsamkeit für alle Smartphone-Nutzer. Experten raten zu folgenden grundlegenden Sicherheitsmaßnahmen:
- Apps nur aus offiziellen Quellen installieren: Laden Sie Anwendungen ausschließlich aus dem Google Play Store oder anderen vertrauenswürdigen App-Stores herunter.
- Vorsicht bei Berechtigungen: Überprüfen Sie genau, welche Berechtigungen eine App anfordert. Seien Sie besonders misstrauisch, wenn eine App Zugriff auf die Bedienungshilfen verlangt, obwohl ihre Funktion dies nicht erfordert.
- Phishing erkennen: Klicken Sie nicht auf verdächtige Links in SMS-Nachrichten oder E-Mails, insbesondere wenn diese Sie zur Installation einer App auffordern.
- System-Updates durchführen: Halten Sie das Android-Betriebssystem und alle installierten Apps immer auf dem neuesten Stand, um bekannte Sicherheitslücken zu schließen.
- Mobile Sicherheitssoftware nutzen: Eine seriöse Antiviren-App kann dabei helfen, schädliche Anwendungen zu erkennen und zu blockieren, bevor sie Schaden anrichten können.
Die Entwicklung von Trojanern wie Herodotus und GhostGrab zeigt, dass Cyberkriminelle ihre Methoden ständig weiterentwickeln, um Sicherheitsvorkehrungen zu umgehen. Ein bewusstes und vorsichtiges Verhalten bei der Nutzung mobiler Geräte bleibt der wichtigste Schutz vor finanziellen Verlusten und Datendiebstahl.
