C'est une nouvelle étape dans le jeu du chat et de la souris entre les pirates et la cybersécurité. Un nouveau cheval de Troie bancaire, baptisé Herodotus, a été identifié. Sa particularité ? Il ne se contente pas de voler vos identifiants à une vitesse robotique. Au contraire, il prend son temps, imitant à la perfection la cadence d'un utilisateur humain pour déjouer les protections biométriques.
Comment fonctionne cette nouvelle technique "d'humanisation" ?
La véritable innovation d'Herodotus est son mécanisme "d'humanisation". Les chercheurs de Threat Fabric, qui ont découvert le malware, expliquent son fonctionnement. Lorsqu'il prend le contrôle d'un appareil (via les services d'accessibilité) pour saisir des identifiants volés, il n'effectue pas un copier-coller instantané.
Il tape chaque caractère individuellement, en insérant un délai aléatoire de 0,3 à 3 secondes entre chaque frappe. Cette lenteur délibérée est conçue pour imiter un humain hésitant ou prudent. Cette technique vise à contourner les systèmes anti-fraude des banques, qui sont entraînés à repérer les actions "inhumaines" ou automatisées.
Comment le malware Herodotus infecte-t-il les téléphones ?
L'infection suit un schéma classique mais efficace. La campagne de distribution utilise le "smishing" (phishing par SMS). Les victimes au Brésil et en Italie reçoivent un SMS les incitant à télécharger une application malveillante.
Cette dernière se fait passer pour une application de sécurité bancaire ("Banca Sicura" en Italie ou "Modulo Seguranca Stone" au Brésil). Une fois installée, l'application demande l'accès aux services d'accessibilité d'Android. C'est une autorisation extrêmement dangereuse qui lui donne le contrôle total de l'écran.
Quels sont les objectifs de ce cheval de Troie ?
L'objectif d'Herodotus est purement financier. Une fois les permissions obtenues, il déploie un arsenal complet. Il utilise des attaques par superposition (overlays) pour afficher de fausses pages de connexion par-dessus les applications bancaires et de cryptomonnaies légitimes.
Il intercepte également les SMS pour voler les codes d'authentification à deux facteurs. Les chercheurs notent que ce malware est vendu comme un Malware-as-a-Service (MaaS) sur les forums clandestins. Cela signifie que de nombreux cybercriminels peuvent désormais l'utiliser.
Ce malware est-il lié à d'autres menaces ?
Oui, Herodotus n'est pas parti de zéro. Selon Threat Fabric, il réutilise des composants du malware Brokewell, découvert l'année dernière, et serait l'œuvre du même développeur, connu sous le pseudo "K1R0". Le malware est encore en développement actif, ce qui suggère que ses capacités pourraient s'étendre, ciblant de nouvelles banques aux États-Unis, au Royaume-Uni et en Pologne.
Foire Aux Questions (FAQ)
Qu'est-ce qu'une attaque par "superposition" (overlay) ?
C'est une technique où le malware affiche une fausse fenêtre (par exemple, une page de connexion) par-dessus une application légitime (votre application bancaire). Vous pensez taper votre mot de passe dans votre banque, mais vous l'envoyez en réalité aux pirates.
Comment les banques détectent-elles les fraudes "robotiques" ?
Les systèmes de sécurité modernes n'analysent pas seulement le mot de passe. Ils analysent aussi votre comportement : la vitesse à laquelle vous tapez, la façon dont vous tenez votre téléphone, etc. (biométrie comportementale). Une saisie instantanée (copier-coller) est un signal d'alarme typique d'un robot. Herodotus contourne cela en tapant lentement.
Comment se protéger d'Herodotus ?
La règle d'or sur Android : ne jamais télécharger d'applications (fichiers APK) en dehors du Google Play Store officiel. Surtout, ne jamais accorder les permissions des "Services d'accessibilité" à une application qui n'en a pas absolument besoin (comme un antivirus reconnu).
