کمیته رکن چهارم– پژوهشگران امنیت سایبری دربارهی تروجان بانکی تازهظهوری به نام Herodotus که در کمپینهای هدفدار در ایتالیا و برزیل فعال است، هشدار دادهاند. این تروجان اندرویدی با تقلید دقیق رفتار انسانی تلاش میکند سامانههای ضدتقلب را فریب دهد و کنترل دستگاه قربانی را بهدست گیرد.
به گزارش کمیته رکن چهارم، تروجان Herodotus که از سپتامبر ۲۰۲۵ در تالارهای زیرزمینی عرضه شده، بر دستگاههای اندروید نسخه ۹ تا ۱۶ اجرا میشود. این اپلیکیشن مخرب معمولا بهصورت Dropper وانمودکننده Google Chrome ظاهر میشود و از طریق پیامک فیشینگ یا مهندسی اجتماعی دانلود میشود. پس از نصب، با استفاده از خدمات دسترسی (accessibility) به نمایش صفحات پوششی میپردازد، کدهای ۲FA را سرقت میکند، رمزها و پینها را استخراج میکند و حتی قابلیت دانلود و نصب فایل APK از راه دور را دارد.
ویژگی متمایز Herodotus، شبیهسازی رفتار انسانی در تایپ است: بین هر «کلید» یا رویداد ورودی، تأخیر حلقهای تصادفی قرار میدهد (بین ۳۰۰ تا ۳۰۰۰ میلیثانیه) تا ورودی ماشینی شبیهسازی نشود و سامانههای تشخیص سرعت/ماشینیبودن را بپوشاند. همچنین کد این بدافزار شباهتهایی با نمونه قبلی Brokewell داشته و حتی رشتههایی مانند “BRKWL_JAVA” در آن دیده شده است.
تهدید اولیهٔ این بدافزار علیه اپلیکیشنهای بانکی، کیفپولهای رمزنگاری و صرافیها در کشورهای ایتالیا، برزیل، ترکیه، بریتانیا، لهستان و آمریکا گزارش شده است؛ ولی با توجه به قابلیتهای توسعهیافته آن، گسترش بینالمللی محتمل به نظر میرسد.
در جمعبندی، Herodotus نمونهای است از نسل جدید تهدیدهای بانکی که با تقلید دقیق رفتار انسانی و بهرهگیری از امکانات سیستمعامل، سامانههای امنیتی مبتنی بر رفتار را دور میزند. سازمانها و کاربران اندرویدی باید مراقبت بیشتری در نصب اپلیکیشنها داشته باشند، بهروزرسانی امنیت را جدی بگیرند و امکان خدمات دسترسی برای اپلیکیشنهای مشکوک را محدود کنند.
