Pilnie usuń to z telefonu. Udaje polskie banki i kradnie kasę

Na trop trojana wpadła duńska firma ThreatFabric. Analiza wykazała, że szkodliwe oprogramowanie działa w sposób trochę inny od standardowego. Między innymi z tego powodu jest niezwykle niebezpieczne.

Groźny malware Herodotus

Przede wszystkim na trop Herodotusa eksperci trafili po raz pierwszy we wrześniu 2025 roku na jednym z forów dla hakerów. Oprogramowanie oferowane jest jako MaaS, czyli malware-as-a-service. Ma szerokie zastosowanie, ponieważ działa na Androidzie w wersji od 9 aż do 16.

Zdaniem ekspertów z firmy ThreatFabric trojan nie jest bezpośrednią ewolucją innego malware'u bankowego o nazwie Brokewell, ale korzysta z wielu jego rozwiązań, w tym między innymi z technik zaciemniania. W kodzie znajdują się też wzmianki na temat Brokewell.

Herodotus rozpowszechniany jest za pomocą licznych kampanii phishingowych, między innymi za pośrednictwem SMS-ów, mediów społecznościowych czy też fałszywych aplikacji. Po zainstalowaniu wykorzystuje usługi ułatwień dostępu do uzyskania bardzo szerokich możliwości.

Trojan może między innymi:

• nagrywać ekran,
• rejestrować kliknięcia w wyświetlacz,
• zapisywać całą naszą aktywność, w tym hasła wpisywane na klawiaturze (tzw. keylogger),
• wyświetlać przezroczyste nakładki na ekranie, aby ukryć swoją obecność,
• wyświetlać fałszywe okna logowania do banków,
• przejmować hasła SMS do dwustopniowej weryfikacji,
• przyznawać sobie dodatkowe uprawnienia,
• a także instalować zdalnie pliki APK.

Co w takim razie jest nietypowego w Herodotusie? Trojan stara się udawać, że jest człowiekiem. Przy wpisywaniu haseł czy wykonywaniu poleceń na telefonie celowo robi to z losowymi opóźnieniami, aby wyglądało to, jakby było wykonywane przez samego użytkownika.

Podane opóźnienie mieści się w zakresie 300 – 3000 milisekund (0,3 – 3 sekundy). Taka losowość opóźnień między zdarzeniami wprowadzania tekstu jest zgodna z tym, jak użytkownik wprowadzałby tekst. Świadomie opóźniając wprowadzanie danych w losowych odstępach czasu, hakerzy prawdopodobnie starają się uniknąć wykrycia przez rozwiązania zapobiegające oszustwom, które wykrywają szybkość wprowadzania tekstu podobną do maszynowej.

Co ważne, eksperci ds. cyberbezpieczeństwa znaleźli w aplikacji ślady imitowania między innymi stron polskich banków oraz instytucji finansowych. Tym samym oprogramowanie, które cały czas jest rozwijane, może być dla nas bezpośrednim zagrożeniem. Poza tym trojan może atakować użytkowników z Włoch, Turcji, USA, Wielkiej Brytanii oraz Brazylii.

Co usunąć z telefonu?

Możecie w tym miejscu zapytać — co powinienem usunąć z telefonu? Odpowiedź jest bardzo prosta: wszystkie aplikacje, które zainstalowałeś z niepewnych i nieznanych źródeł. To one są najczęściej wykorzystywane przez oszustów do rozprowadzania szkodliwego oprogramowania typu malware. Chociaż Sklep Play nie jest pod tym kątem rozwiązaniem idealnym, to jednak zapewnia dużo większą ochronę. Dlatego też, instalując aplikacje, powinniście korzystać tylko z oficjalnych źródeł. Może i nie zapewnia to 100-procentowego bezpieczeństwa, ale na pewno minimalizuje ryzyko.