Bei unserem Partner direkt-TRADE.com 76,7% der Kleinanlegerkonten verlieren Geld beim CFD Handel. Sie sollten überlegen, ob Sie es sich leisten können, das hohe Risiko einzugehen, Ihr Geld zu verlieren.

28.10.2025 - 15:51 Uhr

Herodotus-Trojaner täuscht Sicherheitssysteme mit menschlichem Verhalten

Malware-as-a-Service senkt Einstiegshürden

Ein neuer Android-Banking-Trojaner namens “Herodotus” revolutioniert die mobile Cyberkriminalität: Die Schadsoftware imitiert bewusst menschliches Tippverhalten, um Sicherheitssysteme zu überlisten. Cybersecurity-Forscher warnen vor der raffinierten Technik, die bereits Banking-Nutzer in Italien und Brasilien ins Visier nimmt.

Der Trojaner baut zufällige Verzögerungen von 0,3 bis drei Sekunden zwischen Texteingaben ein und täuscht so das langsame, ungleichmäßige Tippen echter Nutzer nach. Diese Innovation macht herkömmliche Erkennungssysteme blind, die bisher automatisierte Angriffe anhand ihrer maschinenartigen Geschwindigkeit identifizierten.

Herodotus wird als Malware-as-a-Service (MaaS) an Cyberkriminelle vermietet – ein Geschäftsmodell, das auch weniger versierten Angreifern hochentwickelte Werkzeuge zugänglich macht. Sicherheitsexperten von ThreatFabric sehen Verbindungen zu den Betreibern des bekannten Brokewell-Trojaners, was auf eine erfahrene Hackergruppe hindeutet.

Die Verbreitung erfolgt hauptsächlich über SMS-Phishing (“Smishing”): Betrügerische Textnachrichten locken Opfer dazu, die Schadsoftware über Links zu installieren. Bereits sieben verschiedene Subdomains zeigen, dass mehrere Angreifergruppen den Trojaner aktiv nutzen.

Perfide Täuschung bei den Berechtigungen

Nach der Installation konzentriert sich Herodotus auf Androids sensible Bedienungshilfen-Berechtigung. Diese eigentlich für Menschen mit Behinderungen gedachte Funktion gewährt Apps weitreichende Kontrolle über die Benutzeroberfläche.

Der Trojaner wendet dabei einen perfiden Trick an: Während der Nutzer zu den Bedienungshilfen-Einstellungen weitergeleitet wird, zeigt die Malware einen gefälschten Ladebildschirm. Hinter dieser Kulisse erteilt sie sich heimlich die nötigen Berechtigungen – eine Methode, die speziell darauf ausgelegt ist, Sicherheitsvorkehrungen in Android 13 und neueren Versionen zu umgehen.

Overlay-Attacken mit Präzision

Mit den erschlichenen Berechtigungen kann Herodotus unbemerkt agieren: Das Programm tippt auf bestimmte Bildschirmkoordinaten, führt Wischgesten aus und gibt Text über die Tastatur oder Zwischenablage ein.

Die Angreifer setzen auf klassische Overlay-Attacken mit pixelgenauer Nachahmung echter Banking-Apps. Öffnet ein Nutzer seine Finanz-App, legt Herodotus eine täuschend echte Kopie der Anmeldeseite darüber und fängt Benutzername und Passwort ab. Ein integrierter SMS-Dieb komplettiert den Angriff, indem er Einmalcodes für die Zwei-Faktor-Authentifizierung abfängt.

Globale Expansion geplant

Obwohl derzeit auf Italien und Brasilien fokussiert, enthält der Code bereits vorgefertigte Overlay-Seiten für Finanzinstitute in den USA, Großbritannien, Polen und der Türkei. Auch verschiedene Kryptowährungs-Wallets und -Börsen stehen im Visier – ein klares Indiz für geplante weltweite Angriffe.

Die Verbindung zu Brokewell ist besonders beunruhigend. Zwar nutzt Herodotus nur begrenzte Module des etablierten Trojaners, doch die Verknüpfung deutet auf eine erfahrene Angreifergruppe hin, die ihr Arsenal systematisch erweitert.

Schutzmaßnahmen für Android-Nutzer

Sicherheitsexperten raten zu strikten Vorsichtsmaßnahmen: Apps ausschließlich über den offiziellen Google Play Store installieren und Google Play Protect aktiviert lassen. Besondere Vorsicht ist bei Apps geboten, die Bedienungshilfen-Berechtigungen anfordern.
Anzeige: Übrigens: Wer sich vor Smishing, Banking-Trojanern und Datenklau schützen möchte, findet eine kompakte Schritt-für-Schritt-Anleitung: Das kostenlose Sicherheitspaket zeigt die 5 wichtigsten Maßnahmen für Android – ohne teure Zusatz-Apps, mit praxiserprobten Einstellungen für WhatsApp, Online-Banking, PayPal und Co. In wenigen Minuten setzen Sie die wichtigsten Schutzfunktionen richtig auf und schließen oft übersehene Lücken. Jetzt das kostenlose Android‑Sicherheitspaket anfordern

Nutzer sollten regelmäßig die Berechtigungen ihrer installierten Apps überprüfen und übermäßige Zugriffsrechte widerrufen. Grundsätzlich gilt: Niemals Links in unaufgeforderten SMS-Nachrichten folgen – diese bleiben ein Haupteinfallstor für mobile Bedrohungen.

Die Entwicklung zeigt, wie Cyberkriminelle ihre Methoden kontinuierlich verfeinern. Während einfache zeitbasierte Erkennungssysteme versagen, dürften fortgeschrittene Verhaltensanalysesysteme, die individuelle Nutzermuster modellieren, den Trojaner noch identifizieren können.

Zum Nachrichtenüberblick
markets.com

CFD sind komplexe Finanzinstrumente und beinhalten wegen der Hebelwirkung ein hohes Risiko, schnell Geld zu verlieren. Bei unserem Partner direkt-TRADE.com 83,70% der Kleinanlegerkonten Geld beim CFD Handel. Sie sollten überlegen, ob Sie verstehen, wie CFD funktionieren und ob Sie es sich leisten können, das hohe Risiko einzugehen, Ihr Geld zu verlieren.