10月29日,网络安全研究机构发布报告,披露了一款名为Herodotus的新型Android木马程序。该恶意软件利用系统辅助功能权限实施多种隐蔽攻击,能够截获手机短信验证码等关键身份认证信息,并为后续金融诈骗活动铺平道路。
一旦获得设备辅助服务权限,该木马便可实时获取包含双重认证代码的短信内容。攻击者还能远程向被感染设备推送伪造的银行登录界面,诱骗用户输入账户密码,在用户毫无察觉的情况下完成账户盗取。此外,该程序还具备远程操控银行应用的能力,可在后台执行转账等敏感操作。
该木马最具威胁的特性在于其内置的"拟人操作模拟机制"。当用户在虚拟键盘输入密码时,木马会刻意在每个字符间插入0.3到3秒的随机延迟,同时模拟人类常见的误触、点击修正和滑动动作。这种操作模式有效规避了常规风控系统对自动化操作的识别逻辑,使异常操作被误判为真实用户行为。
相较而言,传统木马通常采用直接粘贴或高速输入方式提交凭证,此类异常行为容易被安全模型识别并拦截。而Herodotus通过模拟自然输入节奏,显著提升了绕过检测系统的成功率,给现有防御体系带来全新挑战。
目前,该木马已在意大利、巴西等地区出现传播迹象。攻击者主要伪装成系统更新通知的钓鱼短信分发恶意链接,诱使用户下载并授权辅助功能权限。一旦得手,便会在后台逐步完成账户劫持与资金转移。
研究人员指出,现阶段该木马尚处于早期发展阶段,尚未大规模扩散。尽管其行为模式对依赖输入行为分析的风控策略构成威胁,但及时升级检测规则与响应机制有望有效遏制其蔓延。建议相关安全团队关注此类新型攻击手法,提前优化防御策略以应对潜在风险。
