Table des matières
Herodotus est un malware Android récemment découvert, activement développé et proposé sous forme de malware-as-a-service (MaaS). Ce cheval de Troie utilise des techniques trompeuses pour tromper les utilisateurs et les systèmes de sécurité afin d’échapper à la détection et d’assurer la persistance. Découvrez comment le malware Herodotus peut infecter votre appareil et comment rester en sécurité.
Comment fonctionne le logiciel malveillant Herodotus
Herodotus est construit à partir de zéro, mais intègre les fonctions du célèbre malware Brokewell en plus de ses propres tactiques sophistiquées. Il est principalement distribué via SMiShing et des pages Web malveillantes qui vous invitent à télécharger l’application.
Une fois installé, il vous invite immédiatement à activer le service d’accessibilité et vous amène directement aux paramètres. Dès que vous activez le service d’accessibilité, il affiche une fausse superposition indiquant « chargement » ou « vérification ». Derrière la surcouche, il réalise tous les actes malveillants, avec pour objectif principal de vider les comptes bancaires.
Tout d’abord, il analyse le système pour connaître toutes les applications installées et les fonctionnalités activées, puis envoie les informations au serveur C2. Ensuite, il reçoit des instructions personnalisées pour ouvrir des applications, dansacceptez les SMS 2FA, remplissez les champs et effectuez des actions en appuyant et en glissant.
Fait intéressant, il saisit également du texte dans des champs en utilisant des pauses aléatoires de 0,3 à 3 secondes pour imiter la saisie humaine. Il le fait pour échapper aux applications qui utilisent des champs de saisie de détection comportementale ou aux applications de sécurité qui suivent le comportement de saisie. Puisqu’il est disponible sous forme de malware en tant que service, n’importe qui peut l’acheter et l’utiliser. En fait, un total de 7 exécuteurs distincts de ce malware ont déjà été enregistrés.
Empêcher l’entrée des logiciels malveillants Herodotus
Empêcher l’entrée de ce malware devrait être votre première priorité. Étant un cheval de Troie bancaire, sa principale méthode d’entrée consiste à vous convaincre de l’installer en agissant comme une application importante. Vous devez être extrêmement prudent aux liens contenus dans les SMS ou dans les invites du navigateur qui vous demandent de télécharger une application. Il peut s’agir d’une application de sécurité ou même d’une invite à mettre à jour le navigateur.
Aucune source officielle ne vous demandera de télécharger une application, et les mises à jour ne nécessitent pas non plus de chargement latéral. Téléchargez toujours des applications depuis le Google Play Store ou d’autres magasins réputés. Ceci est particulièrement important s’il s’agit d’une demande non sollicitée venue de nulle part.
Si vous finissez par installer une telle application, la demande d’activation du dangereux service d’accessibilité est un signal d’alarme clair pour faire marche arrière. Ce service permet à l’application d’afficher le contenu de l’écran et d’interagir avec lui, permettant aux pirates d’en prendre le contrôle total.
Vous devez également vous assurer que Play Protect est activé dans le Google Play Store, car il détectera automatiquement ces applications malveillantes et les désactivera ou vous invitera à le faire. Dans le Play Store, appuyez sur Jouer à Protéger dans le menu principal et assurez-vous qu’il est activé.
Détecter la présence du logiciel malveillant Herodotus
Son accès élevé et sa capacité à empêcher le suivi comportemental le rendront difficile à détecter pour la plupart des logiciels de sécurité. Si vous pensez que votre téléphone Android est infecté, vous pouvez rechercher des signes courants associés aux attaques de logiciels malveillants Herodotus. Ci-dessous, nous énumérons les signaux d’alarme clairs :
- Chargement inattendu ou vérification des superpositions : c’est le comportement le plus évident de la plupart des chevaux de Troie. Ils affichent une fausse superposition pour faire leur travail à l’arrière sans que l’utilisateur ne le découvre. Si vous voyez une invite inattendue en plein écran vous demandant d’attendre, c’est un signe fort. Ceci est particulièrement préoccupant lorsque cela se produit lorsque vous ouvrez une application sensible, comme une application bancaire.
- Applications inconnues avec autorisations d’accessibilité : seules les applications les plus fiables devraient disposer d’autorisations d’accessibilité. Aller à Paramètres → Accessibilité → Applications téléchargées pour vous assurer qu’aucune application inconnue n’est répertoriée.
- Activité SMS inhabituelle : Le malware Herodotus peut également intercepter les SMS 2FA. Si vous commencez à recevoir des SMS 2FA ou s’il y a plusieurs SMS 2FA dans votre boîte de réception à votre insu, votre appareil pourrait être infecté.
- Un pic dans l’utilisation des ressources : pour contrôler le téléphone, il exécute de nombreuses tâches qui consomment des ressources téléphoniques comme la batterie ou le réseau. Si vous remarquez que votre téléphone ralentit soudainement ou que la batterie se décharge trop rapidement, accédez à Paramètres → Batterie et voyez si une application inconnue consomme trop de batterie.
Que faire si votre téléphone est infecté
Une fois confirmé que votre téléphone est infecté, mettez-le immédiatement en mode Avion et suivez ces étapes :
Désinstaller l’application
La désinstallation de l’application malveillante est votre priorité pour éviter d’autres dommages. Cependant, ce ne sera probablement pas facile si l’application a accès à des autorisations élevées. Si la méthode de désinstallation habituelle ne fonctionne pas, accédez aux paramètres d’accessibilité comme nous l’avons fait ci-dessus et supprimez son accès.
Tu devrais aussi aller à Paramètres → Protection de la vie privée → Autorisations spéciales. Ici, assurez-vous que l’application n’a pas Administrateur de l’appareil ou Afficher sur d’autres applications autorisations. Vous pouvez également accéder au mode sans échec Android et supprimer l’application à partir de là.
Comptes en ligne sécurisés
Depuis un autre appareil propre, réinitialisez les mots de passe des comptes utilisés sur l’appareil infecté, notamment les comptes bancaires. Si pris en charge, utilisez une application d’authentification pour 2FA et révoquez également toutes les sessions actives à l’aide de la page de sécurité du compte des services. Si vous détectez des transferts de fonds suspects, informez-en immédiatement votre banque.
Scannez votre téléphone pour vous assurer qu’il est en sécurité
Une fois l’application infectée supprimée, vous devez exécuter une analyse de sécurité pour vous assurer qu’il ne reste aucune porte dérobée ou application malveillante. Tout d’abord, ouvrez Jouer à Protéger dans le Google Play Store comme nous l’avons fait ci-dessus et lancez une analyse. Ensuite, téléchargez un antivirus réputé comme Avast Antivirus & Security pour exécuter une analyse complète du système.
Pour garantir la suppression du malware Herodotus, vous pouvez également sauvegarder vos données et réinitialiser votre téléphone aux paramètres d’usine.
Cette menace et bien d’autres menaces de logiciels malveillants peuvent être évitées en téléchargeant des applications uniquement à partir du Google Play Store et non en effectuant un chargement latéral. Cependant, même les applications du Play Store peuvent être infectées, vous devez donc activer toutes les fonctionnalités de sécurité Android pour une protection optimale.
