🛡️ **Herodotus木马的隐蔽性极高：** Herodotus是一款新型Android木马，其核心威胁在于其高度的隐蔽性。它利用Android系统的辅助功能，能够拦截用户收到的短信验证码，这是进行二次验证（2FA）的关键环节，从而削弱了用户的账户安全。更令人担忧的是，它还能远程向受害者的手机下发伪造的网银登录界面，让用户在不知不觉中输入敏感信息。

🎭 **“类人操作层”规避风控：** Herodotus最突出的技术特点是其独特的“类人操作层”。它在模拟输入密码时，会在输入每个字符之间故意引入0.3至3秒的随机延迟，并模拟真人输入时的误触、点击、滑动等操作。这种精细的模拟极大地增加了检测难度，使得银行应用的风险控制系统难以区分是真人操作还是恶意脚本，从而成功绕过通常依赖输入速度或节奏的风控模型。

🎣 **传播途径与早期预警：** 目前，Herodotus主要通过钓鱼短信进行传播，诱导用户下载恶意应用并开启辅助功能。一旦成功，木马便能神不知鬼不觉地执行欺诈行为，如远程操控银行App进行转账。ThreatFabric的研究表明，该木马仍处于早期阶段，并发出警告，呼吁业界立即加强风险控制系统，以在木马大规模传播前将其扼杀在摇篮里。

IT之家 10 月 29 日消息，安全研究公司 ThreatFabric 昨天发布博客，公布一款名为 Herodotus 的新型 Android 木马病毒，它可以借助辅助功能，拦截短信验证码等关键安全验证因素，还能模拟人类输入密码习惯，悄无声息地登录网银，窃取用户钱财。

据介绍，这款木马可以借助 Android 系统的辅助功能，拦截用户收到的 2FA 短信（IT之家注：验证码），攻击者还可以远程为受害人的手机下发伪造的网银登录界面，神不知鬼不觉地窃取用户的网银密码，还可以远程操控银行 App 执行转账等欺诈行为。

这款木马最厉害的地方在于其拥有独特的“类人操作层”，可以在唤醒虚拟键盘打字时，故意在输入每个字母 / 数字间随机延迟 0.3 至 3 秒，并模拟人类输密码的误触、点击、滑动操作，骗过风控系统，让 App 误认为这种操作是由真人发起，而非脚本或机器人。

作为对比，传统的木马往往比较“简单粗暴”，在输入密码时会直接粘贴或用极快的速度打字，一般都能被风控模型拦截，但 Herodotus 的类人输入方式极大地增加了系统检测难度，其输入节奏很难被风控察觉。

目前这款木马已在意大利、巴西等地传播，诈骗者通常将其下载链接以钓鱼短信的形式发送给受害者，并引导他们开启辅助功能，然后悄无声息地转走受害者银行里的钱。

ThreatFabric 对此警告道，如果风控系统只依靠打字速度或输入节奏可能无法识别这种新型木马，但庆幸的是这款木马仍处于早期阶段，如果业内人士能第一时间对此加强风险控制系统，那就能成功将其扼杀在摇篮内。