10月29日,安全研究公司ThreatFabric发布博客文章,披露了一款名为Herodotus的新型Android木马病毒。这款木马能借助系统辅助功能截获短信验证码等关键安全验证要素,还能模拟人类输入密码时的真实操作习惯,悄无声息地登录网上银行系统实施盗窃。

据介绍,该木马通过滥用Android系统的辅助服务权限,能够拦截用户接收的双重认证短信。攻击者还能远程操控受害者手机,向其展示伪造的网银登录界面,在用户毫无察觉的情况下窃取账户密码,甚至直接操控银行App执行转账诈骗。

这款木马最危险之处在于其独特的"人类行为模拟层"。当触发虚拟键盘输入时,它会刻意在每个字母或数字输入之间设置0.3至3秒不等的随机延迟,并模拟人类输密码时常见的误触、点击、滑动等细节操作,成功绕过了风控系统检测,使应用程序误认为这些操作是由真实用户发起的。

相比之下,传统木马的操作方式要简单粗暴得多。它们在输入密码时往往直接粘贴内容,或采用极快的输入速度,通常都会被风控模型识别拦截。而Herodotus模拟的人类输入方式显著提升了系统检测难度,其富有变化的输入节奏很难被风控系统察觉异常。
目前这款恶意软件已在意大利、巴西等地传播。诈骗分子通常通过钓鱼短信向受害者发送下载链接,诱骗他们开启辅助功能权限,随后悄无声息地转走受害者银行账户里的资金。
ThreatFabric警告称,如果风控系统仅仅依赖输入速度或操作节奏作为判断依据,可能无法有效识别这种新型木马。值得庆幸的是,该木马目前仍处于早期传播阶段。若安全厂商能第一时间加强风险控制系统,就能将其遏制在萌芽状态。
