Siber güvenlik araştırmacıları, yeni bir Android bankacılık truva atının ayrıntılarını açıkladı. Herodot Cihaz ele geçirme (DTO) saldırıları gerçekleştirmek üzere İtalya ve Brezilya’yı hedefleyen aktif kampanyalarda bu durum gözlemlenmiştir.
ThreatFabric, The Hacker News ile paylaşılan bir raporda, “Herodot, insan davranışını taklit etmek ve davranış biyometri tespitini atlamak için ilk girişimlerde bulunurken cihazı ele geçirmek üzere tasarlandı” dedi.
Hollandalı güvenlik şirketi, Truva atının ilk olarak 7 Eylül 2025’te yeraltı forumlarında, hizmet olarak kötü amaçlı yazılım (MaaS) modelinin bir parçası olarak tanıtıldığını ve Android 9 ila 16 sürümlerini çalıştıran cihazlarda çalışabilme yeteneğinin öne çıkarıldığını söyledi.
Kötü amaçlı yazılımın, Brokewell olarak bilinen başka bir bankacılık kötü amaçlı yazılımının doğrudan evrimi olmasa da, yeni türü oluşturmak için kesinlikle bazı kısımlarını aldığı değerlendiriliyor. Buna, kullanılan gizleme tekniğindeki benzerliklerin yanı sıra Herodot’ta Brokewell’den doğrudan bahsedilme de dahildir (örneğin, “BRKWL_JAVA”).
Herodot aynı zamanda hedeflerine ulaşmak için erişilebilirlik hizmetlerini kötüye kullanan Android kötü amaçlı yazılımlarının uzun listesinin en sonuncusudur. SMS kimlik avı veya diğer sosyal mühendislik hileleri yoluyla Google Chrome (paket adı “com.cd3.app”) gibi davranan damlalık uygulamaları aracılığıyla dağıtılan kötü amaçlı program, ekranla etkileşimde bulunmak için erişilebilirlik özelliğinden yararlanıyor, kötü amaçlı etkinlikleri gizlemek için opak kaplama ekranları sunuyor ve finansal uygulamaların üzerinde sahte giriş ekranları görüntüleyerek kimlik bilgileri hırsızlığı gerçekleştiriyor.
Ek olarak, SMS yoluyla gönderilen iki faktörlü kimlik doğrulama (2FA) kodlarını da çalabilir, ekranda görüntülenen her şeye müdahale edebilir, gerektiğinde kendisine ekstra izinler verebilir, kilit ekranı PIN’ini veya desenini alabilir ve uzak APK dosyalarını yükleyebilir.
Ancak yeni kötü amaçlı yazılımın öne çıktığı nokta, dolandırıcılığı insanileştirme ve zamanlamaya dayalı tespitlerden kaçma yeteneğidir. Spesifik olarak bu, cihaza metin yazmak gibi uzak eylemleri başlatırken rastgele gecikmeler sunma seçeneğini içerir. ThreatFabric, bunun, tehdit aktörlerinin, girdiyi gerçek bir kullanıcı tarafından giriliyormuş gibi gösterme girişimi olduğunu söyledi.
“Belirtilen gecikme 300 – 3000 milisaniye (0,3 – 3 saniye) aralığındadır” diye açıkladı. “Metin girişi olayları arasındaki gecikmenin bu şekilde rastgeleleştirilmesi, kullanıcının metni nasıl gireceği ile uyumludur. Aktörler, girişi rastgele aralıklarla bilinçli olarak geciktirerek, metin girişinin makine benzeri hızını tespit eden, yalnızca davranışa yönelik sahtekarlık karşıtı çözümler tarafından tespit edilmekten kaçınmaya çalışıyorlar.”
ThreatFabric ayrıca Herodot tarafından kullanılan, ABD, Türkiye, İngiltere ve Polonya’daki finans kuruluşlarını hedef alan kaplama sayfalarının yanı sıra kripto para cüzdanları ve borsalarını da ele geçirdiğini, bunun da operatörlerin aktif olarak ufuklarını genişletmeye çalıştıklarını gösterdiğini söyledi.
Şirket, “Aktif olarak geliştirilme aşamasındadır, uzun süredir Brokewell bankacılık Truva Atı ile ilişkilendirilen teknikleri ödünç almaktadır ve yalnızca statik kimlik bilgilerini çalmak ve hesap ele geçirmeye odaklanmak yerine canlı oturumlarda kalıcı olmak için özel olarak tasarlanmış gibi görünmektedir” dedi.