Според извештајот на компанијата „ThreatFabric“, „Herodotus“ има способност да пресретнува СМС пораки и да краде кодови за двостепена автентикација, користејќи лажни страници за најава во банкарски апликации, додека преку дозволи за пристапност ги следи сите активности што се прикажуваат на екранот. Со тоа, напаѓачите можат да се најават на сметки и да започнат лажни трансакции без системот да ги препознае како автоматизирани напади.

Се однесува како вистински човек

За разлика од класичните тројанци кои делуваат механички, „Herodotus“ симулира човечко однесување.

Прави паузи меѓу кликнувањата и пишувањето – од 0,3 до 3 секунди, а дури ги имитира и движењата на прстите по екранот. Токму таа „човечка“ спонтаност го прави исклучително тежок за откривање од страна на системите за заштита.

Лажни апликации и скриени активности

Истражувачите наведуваат дека вирусот веќе бил забележан во Италија и Бразил, каде се претставувал како апликации „Banca Sicura“ и „Modulo Seguranca Stone“.

Откако жртвата ќе ја инсталира заразената апликација, „Herodotus“ бара пристап до сервисите за пристапност, а потоа активира лажни екрани преку оригиналниот интерфејс за да ги скрие своите активности, додека во позадина краде податоци или извршува парични трансфери.

Малверот потоа ги пријавува сите инсталирани апликации на својот команден сервер, со што напаѓачите во секој момент знаат кога корисникот отвора банкарска апликација или дигитален паричник. Во тој миг, „Herodotus“ автоматски прикажува лажна страница за најава и ги собира корисничките податоци за пристап.

Совети за заштита

Експертите предупредуваат корисниците да не инсталираат апликации надвор од „Google Play Store“, да не отвораат сомнителни линкови, и редовно да го скенираат уредот со функцијата „Google Play Protect“.

Иако „Herodotus“ е сè уште во рана фаза на развој, истражувачите предупредуваат дека веќе се продава како „malware-as-a-service“ на други хакери, што може да значи дека овој вирус брзо ќе се прошири на глобално ниво.