Bei unserem Partner direkt-TRADE.com 76,7% der Kleinanlegerkonten verlieren Geld beim CFD Handel. Sie sollten überlegen, ob Sie es sich leisten können, das hohe Risiko einzugehen, Ihr Geld zu verlieren.

06.11.2025 - 19:04 Uhr

Herodotus: Banking-Trojaner täuscht menschliches Verhalten vor

Wie der Angriff abläuft

Ein hochentwickelter Android-Trojaner namens „Herodotus” setzt auf eine perfide neue Strategie: Er imitiert menschliches Tippverhalten, um Sicherheitssysteme zu überlisten. Die Malware zielt auf Bankdaten und Kryptowährungen ab – mit einer Technik, die bisherige Schutzmechanismen ins Leere laufen lässt.

Das IT-Sicherheitsunternehmen CYFIRMA warnt in seinem aktuellen Wochenbericht vor der wachsenden Bedrohung. Die Malware verbreitet sich über betrügerische SMS-Nachrichten, sogenanntes Smishing, und bringt Nutzer dazu, gefälschte Apps herunterzuladen. Besonders brisant: Herodotus kombiniert Elemente des bekannten „Brokewell”-Trojaners mit eigenem Code und einer Innovation, die automatische Betrugserkennungssysteme praktisch blind macht.

Erste detaillierte Analysen lieferten die Sicherheitsforscher von ThreatFabric Ende Oktober. Sie entdeckten aktive Kampagnen in Italien und Brasilien. Die zentrale Neuerung? Der Trojaner „vermenschlicht” seine Aktionen und wird dadurch für Schutzsoftware nahezu unsichtbar.

Der Angriff beginnt mit einer simplen, aber effektiven Falle: Betrüger verschicken SMS-Nachrichten, die Nutzer auf vermeintlich legitime Apps locken – außerhalb des offiziellen Google Play Store. In Italien tarnte sich eine solche App als „Banca Sicura” (Sichere Bank), in Brasilien gab sie sich als Sicherheitsmodul eines lokalen Zahlungsdienstleisters aus. Auch gefälschte Chrome-Updates dienen als Köder.

Ist die Schadsoftware erst installiert, geht es um die Kontrolle: Herodotus zielt auf die Android-Bedienungshilfen ab – eigentlich gedacht für Menschen mit Behinderungen, in falschen Händen aber ein Generalschlüssel zum Gerät. Um die Sicherheitsvorkehrungen neuerer Android-Versionen zu umgehen, blendet die Malware täuschend echte Ladebildschirme ein. Während der Nutzer wartet, erteilt sich der Trojaner im Hintergrund weitreichende Berechtigungen.

Anzeige: Wer sein Android vor genau solchen Angriffswegen schützen möchte, sollte unbedingt einfache, effektive Schritte kennen. Ein kostenloser Ratgeber fasst die fünf wichtigsten Schutzmaßnahmen für Android-Smartphones zusammen – von sicheren App-Quellen über Berechtigungs-Checks bis zu sinnvollen Einstellungen für Banking-Apps. Jetzt kostenlosen Android-Schutz-Guide herunterladen

Mit dieser Macht ausgestattet, kann Herodotus den Bildschirm auslesen, Bedienelemente steuern, SMS abfangen und Zugangsdaten ausspähen. Eine vollständige Geräteübernahme – ohne dass das Opfer Verdacht schöpft.

Der „Humanizer”-Trick: Neue Dimension der Tarnung

Was unterscheidet Herodotus von herkömmlichen Banking-Trojanern? Seine Fähigkeit, wie ein echter Mensch zu agieren. Moderne Betrugspräventionssysteme erkennen automatisierte Angriffe an ihrer maschinellen Präzision und Geschwindigkeit. Werden beispielsweise Zugangsdaten blitzschnell in ein Formular eingefügt, schlagen die Alarmsysteme an.

Genau hier setzt Herodotus an: Die Malware fügt beim Eintippen von Text zufällige Verzögerungen ein – zwischen 300 und 3000 Millisekunden pro Tastendruck. Das entspricht dem Tempo eines Menschen am Smartphone. Für verhaltensbasierte Sicherheitssysteme sieht der Vorgang damit völlig normal aus.

Diese „Vermenschlichung” betrügerischer Aktionen markiert einen bedeutenden Evolutionssprung bei mobiler Schadsoftware. Die Grenze zwischen Automatisierung und menschlichem Verhalten verschwimmt – und damit auch die Erkennbarkeit.

Globale Ambitionen mit deutschem Bezug

Herodotus ist ein Trojaner der Vollausstattung: Er platziert gefälschte Login-Masken über echte Banking- und Krypto-Apps, fängt Zwei-Faktor-Codes aus SMS ab, erstellt Screenshots und protokolliert alle Bildschirminhalte. Eine digitale Komplettüberwachung.

Zwar konzentrierten sich erste Angriffe auf Italien und Brasilien, doch Sicherheitsforscher entdeckten bereits vorbereitete Angriffspakete für die USA, Großbritannien, die Türkei und Polen. Die globale Expansion läuft offenbar bereits. Für deutsche Nutzer besonders relevant: Viele internationale Banking-Apps und Kryptoplattformen, die auch hierzulande genutzt werden, stehen auf der Zielliste.

Die Verbreitung wird durch ein „Malware-as-a-Service”-Modell beschleunigt. Ein Akteur mit dem Pseudonym „K1R0″ vermietet den Trojaner an andere Kriminelle – ähnlich wie SAP seine Software lizenziert, nur eben für illegale Zwecke. Diese Industrialisierung der Cyberkriminalität senkt die Einstiegshürden dramatisch und lässt eine schnelle Verbreitung erwarten.

Ein Wettlauf zwischen Angreifern und Verteidigern

Das Auftauchen von Herodotus zeigt eine klare Tendenz: Schadsoftware wird nicht nur raffinierter bei der Umgehung von Virenscannern, sondern knackt zunehmend auch verhaltensbasierte Erkennungssysteme. Durch die Kombination bewährter Elemente des Brokewell-Trojaners mit der „Humanizer”-Funktion haben die Entwickler ein hochwirksames Werkzeug für Finanzbetrug geschaffen.

Das Vermietungsmodell verschärft die Lage zusätzlich: Während die Entwickler an weiteren Verbesserungen arbeiten, verbreitet ein Netzwerk von Affiliates die Malware weltweit. Eine skalierbare und widerstandsfähige kriminelle Struktur entsteht. Die Schwachstelle bleibt das Android-Ökosystem selbst – insbesondere die Bedienungshilfen, die nach einmaliger Freigabe nahezu totale Gerätekontrolle ermöglichen.

Was Nutzer jetzt tun können

Sicherheitsexperten gehen davon aus, dass Herodotus weiterentwickelt wird und seine Verbreitung zunimmt. Finanzinstitute stehen unter Druck, mehrschichtige Anti-Betrugs-Lösungen zu implementieren, die subtilere Anomalien als bloße Eingabegeschwindigkeit erkennen.

Für Android-Nutzer bleibt Wachsamkeit die beste Verteidigung. Google bestätigt zwar, dass der standardmäßig aktivierte Play Protect-Dienst bekannte Varianten dieser Malware erkennt und Warnungen ausgibt. Doch weil sich Herodotus über Apps außerhalb des Google Play Store verbreitet, lautet die wichtigste Regel: Keine Apps aus unbekannten Quellen installieren.

Konkret bedeutet das: Unaufgeforderte SMS mit Links ignorieren, bei neuen Apps die angeforderten Berechtigungen kritisch prüfen – und besonders misstrauisch werden, wenn eine App Zugriff auf Bedienungshilfen verlangt. Denn dieser Zugriff ist der Schlüssel, mit dem Herodotus die Tür zum gesamten Gerät aufstößt.

Anzeige: PS: Wenn Sie Ihr Smartphone langfristig schützen wollen, lohnt sich ein kurzer Blick in ein kompaktes Sicherheitspaket mit Checklisten und Schritt-für-Schritt-Anleitungen – viele Nutzer berichten, dass schon fünf einfache Einstellungen das Risiko massiv reduzieren. Gratis-Sicherheitspaket für Android anfordern

Zum Nachrichtenüberblick
markets.com

CFD sind komplexe Finanzinstrumente und beinhalten wegen der Hebelwirkung ein hohes Risiko, schnell Geld zu verlieren. Bei unserem Partner direkt-TRADE.com 83,70% der Kleinanlegerkonten Geld beim CFD Handel. Sie sollten überlegen, ob Sie verstehen, wie CFD funktionieren und ob Sie es sich leisten können, das hohe Risiko einzugehen, Ihr Geld zu verlieren.