💡 Herodotus木马利用Android系统的辅助功能权限，能够拦截用户收到的短信验证码等关键身份验证信息，为后续的金融欺诈活动铺平道路。通过获取这些敏感信息，攻击者可以绕过双因素认证，直接访问用户的账户。

🎭 该木马具备“类人操作模拟机制”，在用户输入密码时，会刻意在每个字符之间插入0.3至3秒的随机延迟，并模拟人类常见的误触、点击修正和滑动动作。这种精细的模仿极大地提升了其规避常规风控系统对自动化操作识别的能力，使得异常操作被误判为真实用户行为。

🎣 攻击者主要通过伪装成官方通知的钓鱼短信分发恶意链接，诱使用户下载并授权辅助功能权限。一旦用户授权，木马便能在后台悄无声息地完成账户劫持与资金转移，对用户的财产安全构成严重威胁。

🛡️ 尽管Herodotus木马对依赖输入行为分析的风控策略构成威胁，但研究人员指出其尚处于早期发展期。通过及时升级检测规则和响应机制，加强对新型攻击手法的关注，可以有效遏制其蔓延，优化防御策略以应对潜在风险。

2025-10-30 01:40:16  作者：狼叫兽

10月29日，安全研究机构发布报告，披露一种名为Herodotus的新型Android木马程序。该恶意软件利用系统辅助功能实现多种隐蔽攻击行为，能够拦截用户接收到的短信验证码等关键身份验证信息，并进一步实施金融欺诈。

该木马通过启用设备的辅助服务权限，可实时获取包含双因素认证代码的短信内容。攻击者还能远程向受感染设备推送伪造的银行登录界面，诱导用户输入账户密码，在用户无感知的情况下完成账号窃取。此外，该程序具备远程操控银行应用的能力，可在后台执行转账等敏感操作。

其最具威胁性的特征在于内置的“类人操作模拟机制”。当在虚拟键盘输入密码时，该木马会刻意在每个字符之间插入0.3至3秒的随机延迟，同时模拟人类常见的误触、点击修正和滑动动作。这种行为模式有效规避了常规风控系统对自动化操作的识别逻辑，使异常操作被误判为真实用户行为。

相较之下，传统木马通常采用直接粘贴或高速输入方式提交凭证，此类行为易被安全模型识别并拦截。而Herodotus通过模仿自然输入节奏，显著提升了绕过检测系统的成功率，给现有防御体系带来新的挑战。

目前，该木马已在意大利、巴西等地区出现传播迹象。攻击者主要通过伪装成官方通知的钓鱼短信分发恶意链接，诱使用户下载并授权辅助功能权限。一旦得逞，便在后台逐步完成账户劫持与资金转移。

研究人员指出，当前阶段该木马尚处于早期发展期，尚未大规模扩散。尽管其行为模式对依赖输入行为分析的风控策略构成威胁，但及时升级检测规则与响应机制有望有效遏制其蔓延。建议相关安全团队关注此类新型攻击手法，提前优化防御策略以应对潜在风险。