Une nouvelle menace mobile met en alerte les experts en cybersécurité : un cheval de Troie bancaire Android nommé Herodotus déjoue les systèmes antifraude les plus avancés en imitant le comportement humain. Observé dans des campagnes ciblant l’Italie et le Brésil, ce malware utilise des techniques de prise de contrôle d’appareil (Device Takeover) pour compromettre les comptes bancaires. Si vous recherchez des informations sur les malwares Android récents, les chevaux de Troie bancaires ou comment se protéger des attaques cyber sur mobile, cet article vous livrera tous les détails sur Herodotus et son ingéniosité déconcertante.
Herodotus, un malware Android qui mime les comportements humains
Une attaque perfectionnée et difficile à détecter
Découvert par les chercheurs en cybersécurité de ThreatFabric, Herodotus a été publié sur des forums clandestins dès le 7 septembre 2025 comme un malware-as-a-service (MaaS). Il cible les appareils Android de la version 9 à 16 et exploite l’accessibilité Android pour prendre le contrôle du smartphone infecté.
Sa méthode est d’autant plus préoccupante qu’elle s’appuie sur de la fraude comportementale. Herodotus introduit volontairement des délais aléatoires lors de la saisie de texte, allant de 300 à 3000 millisecondes. Ce décalage reproduit la vitesse de frappe d’un utilisateur humain, rendant les détections basées sur le timing inefficaces. Ce fonctionnement « humain » lui permet de contourner les solutions antifraude comportementale employées par les banques ou les applications sensibles.
Des fonctionnalités étendues pour un contrôle total
Une fois installé via des applications piégées, parfois déguisées en Google Chrome (nom du package : com.cd3.app), le malware abuse des autorisations d’accessibilité pour afficher des écrans de connexion factices, dérober les identifiants, intercepter les codes 2FA envoyés par SMS, ou encore installer des APK malveillants à distance. Il peut également obtenir le code PIN ou schéma de verrouillage de l’appareil.
Un malware inspiré de Brokewell, optimisé pour la persistance
Des techniques de camouflage similaires à un précédent cheval de Troie
Bien qu’Herodotus ne soit pas une évolution directe de Brokewell, plusieurs indices laissent penser qu’il en hérite partiellement. Les chercheurs ont repéré des techniques d’obscurcissement du code similaires entre les deux malwares, ainsi que des références explicites comme « BRKWL_JAVA » dans le code d’Herodotus.
Contrairement à des malwares classiques visant simplement à voler les identifiants bancaires, Herodotus est conçu pour maintenir un accès persistant au sein d’une session en cours. Cela indique une volonté de mener des attaques en temps réel avec usurpation d’identité complète.
Expansion géographique et cibles diversifiées
ThreatFabric a également obtenu des pages de superposition utilisées par Herodotus contre des institutions financières aux États-Unis, en Turquie, au Royaume-Uni et en Pologne. Le malware cible aussi les portefeuilles de cryptomonnaie et les plateformes d’échange. Ces éléments suggèrent une volonté des opérateurs de diversifier leurs cibles et d’élargir leur champ d’action sur plusieurs continents.
Comment se préparer face aux menaces Android actuelles ?
Former et comprendre les techniques des cyberattaquants
Face à des malwares de plus en plus sophistiqués, la meilleure défense reste la compréhension des mécanismes d’attaque. Le livre pour hacker proposé par CyberCare permet de comprendre les bases de l’intrusion informatique et les méthodes utilisées par les attaquants. Il constitue un excellent point de départ pour apprendre à hacker éthiquement et renforcer sa posture de cybersécurité.
Anticiper les malwares mobiles en entreprise
Pour les entreprises et les utilisateurs professionnels, il est vital de mettre en place des contrôles de sécurité adaptés aux appareils mobiles. Cela inclut des solutions de gestion des accès, un contrôle renforcé sur les applications autorisées et une sensibilisation active aux tentatives de phishing par SMS ou email.
En identifiant des menaces comme Herodotus à un stade précoce, CyberCare accompagne ses clients dans le déploiement de mesures de cybersécurité préventive et de réponse aux incidents sur l’ensemble de leurs dispositifs mobiles et systèmes d’information.
