So entfernen Sie Herodotus von infizierten Android-Geräten

Was für eine Art von Malware ist Herodotus?

Herodotus ist eine Android-Malware, die Geräte übernimmt und versucht, echte menschliche Handlungen nachzuahmen, um verhaltensbasierte Sicherheitsprüfungen zu umgehen. Sie wurde bereits bei Angriffen in Italien und Brasilien eingesetzt, und ein Malware-as-a-Service-Modell wurde bereits angekündigt. Es gibt Hinweise darauf, dass die Malware in Zukunft möglicherweise über zusätzliche Funktionen verfügen wird.

Herodot im Detail

Herodotus wird durch Sideloading verbreitet, häufig über SMS-Nachrichten, die Opfer zu einem bösartigen Link locken, über den ein Dropper bereitgestellt wird. Bei der Ausführung installiert der Dropper die Nutzlast so, dass die Einschränkungen von Android 13 (und nachfolgenden Versionen) für Eingabehilfen umgangen werden. Der Dropper startet Herodotus und öffnet die Einstellungen für Eingabehilfen, um das Opfer dazu zu bewegen, diese zu aktivieren.

Sobald die Berechtigung erteilt wurde, zeigt Herodotus einen gefälschten Ladebildschirm an, um den Missbrauch der Berechtigung zu verbergen, und bereitet sich dann darauf vor, Anmeldedaten zu stehlen und die Kontrolle über das Gerät zu übernehmen. Außerdem sendet es die Liste der installierten Apps an seinen C2, empfängt bestimmte Ziele und Overlay-Seiten und wartet darauf, dass das Opfer eine dieser Apps öffnet, wo es einen gefälschten Anmeldebildschirm anzeigt, um die Anmeldedaten zu stehlen.

Mit Herodotus können Cyberkriminelle auf Elemente tippen, bestimmte Punkte auf dem Bildschirm drücken, Text eingeben, wischen und Systemtasten wie „Zurück“, „Home“ und „Zuletzt verwendet“ verwenden, wodurch sie uneingeschränkt aus der Ferne mit dem Gerät interagieren können. Auf diese Weise können sie Geld stehlen, indem sie Transaktionen auf dem Konto des Opfers durchführen.

Wenn Kriminelle Text auf das Gerät eines Opfers eingeben, können sie ihn manuell über die Tastatur des Geräts eingeben oder direkt in die Eingabefelder einfügen. Die manuelle Eingabe ist langsam, daher verwenden viele Banking-Trojaner die direkte Texteinfügung, um sicherzustellen, dass der richtige Text sofort eingegeben wird.

Diese Methode kann jedoch unnatürlich wirken und Betrugsbekämpfungssysteme auslösen, weshalb Herodotus versucht, dies zu verbergen, indem er den Text in einzelne Zeichen aufteilt und zufällige Verzögerungen einfügt.

Außerdem kann Herodotus eine Blockierungsüberlagerung anzeigen, einen gefälschten Bildschirm, der über die echte Benutzeroberfläche gelegt wird und betrügerische Aktivitäten vor dem Opfer verbirgt, während sie für den Angreifer teilweise sichtbar bleiben. Ein separater Überlagerungsbefehl zielt auf Banking-Apps ab und hält die Opfer von der App fern, damit sie keine Transaktionen sehen oder ihre Bank kontaktieren können.

Herodotus kann auch gefälschte Overlays anzeigen, die Anmeldedaten stehlen, SMS abfangen, um 2FA-Codes zu erlangen, und auf Barrierefreiheit basierende Keylogging-Funktionen ausführen, um Bildschirmdaten zu erfassen. Darüber hinaus kann die Malware infizierte Geräte entsperren, Dateien verwalten, PINs, Passwörter und biometrische Eingaben erfassen, Remote-APKs installieren und Persistenz aufrechterhalten.

Herodotus hat sich in Italien als Banca Sicura und in Brasilien als Modulo Seguranca Stone getarnt, um Opfer zur Installation zu verleiten. Obwohl andere aktive Angriffe noch nicht bestätigt wurden, deuten einige Overlays darauf hin, dass Herodotus darauf vorbereitet wird, Banken und Krypto-Plattformen in den USA, der Türkei, Großbritannien und Polen anzugreifen.

Schlussfolgerung

Herodotus ist ein hochentwickelter Android-Banking-Trojaner, der moderne Barrierefreiheits-Schutzmaßnahmen umgeht, um dauerhafte Kontrolle über infizierte Geräte zu erlangen. Er kombiniert gefälschte Overlays, SMS-Abfang, Bildschirmprotokollierung und Fernsteuerungsfunktionen, um Anmeldedaten zu stehlen und unbefugte Transaktionen durchzuführen.

Wenn Herodotus auf einem Gerät entdeckt wird, sollte es so schnell wie möglich entfernt werden. Einige Beispiele für andere Banking-Trojaner, die auf Android-Nutzer abzielen, sind Klopatra, Datzbro und RedHook.

Wie ist Herodot in mein Gerät gelangt?

Benutzer werden in der Regel über Sideloading infiziert. Die Opfer erhalten eine betrügerische SMS mit einem Link zu einem bösartigen Dropper, den das Opfer herunterlädt und installiert. Der Dropper installiert und startet dann Herodotus. Es ist bekannt, dass Herodotus sich oft als Banking-App tarnt (z. B. Banca Sicura oder Modulo Seguranca Stone).

Wie kann man die Installation von Malware vermeiden?

Laden Sie Apps nur aus vertrauenswürdigen Quellen wie Google Play, dem Apple App Store oder offiziellen Websites herunter. Aktualisieren Sie das Betriebssystem und die installierten Anwendungen regelmäßig. Verwenden Sie zuverlässige mobile Sicherheitssoftware. Klicken Sie nicht auf Links in verdächtigen E-Mails, Textnachrichten oder Social-Media-Nachrichten.

Klicken Sie außerdem nicht auf Links, Anzeigen, Pop-ups, Schaltflächen usw. auf verdächtigen Websites.

Ein von der Malware angezeigtes gefälschtes Overlay-Fenster (Quelle: threatfabric.com):

Verwaltungsfenster (Quelle: threatfabric.com):

Schnellmenü:

• Einleitung
• Wie kann man den Browserverlauf aus dem Chrome-Webbrowser löschen?
• Wie deaktiviert man Browser-Benachrichtigungen im Chrome-Webbrowser?
• Wie setzt man den Chrome-Webbrowser zurück?
• Wie kann man den Browserverlauf aus dem Firefox-Webbrowser löschen?
• Wie deaktiviert man Browser-Benachrichtigungen im Firefox-Webbrowser?
• Wie setzt man den Firefox-Webbrowser zurück?
• Wie kann man potenziell unerwünschte und/oder bösartige Anwendungen deinstallieren?
• Wie starte ich das Android-Gerät im „abgesicherten Modus“?
• Wie kann man den Batterieverbrauch verschiedener Anwendungen überprüfen?
• Wie kann man den Datenverbrauch verschiedener Anwendungen überprüfen?
• Wie installiere ich die neuesten Software-Updates?
• Wie kann man das System auf den Standardzustand zurücksetzen?
• Wie kann man Anwendungen mit Administratorrechten deaktivieren?

Löschen Sie den Browserverlauf aus dem Chrome-Webbrowser:

Tippen Sie auf die Schaltfläche „Menü“ (drei Punkte in der oberen rechten Ecke des Bildschirms) und wählen Sie im sich öffnenden Dropdown-Menü „Verlauf“ aus.

Tippen Sie auf „Browsingdaten löschen“, wählen Sie die Registerkarte „ERWEITERT“, wählen Sie den Zeitraum und die Datentypen, die Sie löschen möchten, und tippen Sie auf „Daten löschen“.

[Zurück zum Inhaltsverzeichnis]

Deaktivieren Sie Browser-Benachrichtigungen im Chrome-Webbrowser:

Tippen Sie auf die Schaltfläche „Menü“ (drei Punkte in der rechten oberen Ecke des Bildschirms) und wählen Sie im sich öffnenden Dropdown-Menü „Einstellungen“ aus.

Scrollen Sie nach unten, bis Sie die Option „Website-Einstellungen“ sehen, und tippen Sie darauf. Scrollen Sie nach unten, bis Sie die Option „Benachrichtigungen“ sehen, und tippen Sie darauf.

Suchen Sie die Websites, die Browser-Benachrichtigungen senden, tippen Sie darauf und klicken Sie auf „Löschen & zurücksetzen“. Dadurch werden die Berechtigungen für diese Websites zum Senden von Benachrichtigungen entfernt. Wenn Sie jedoch dieselbe Website erneut besuchen, wird möglicherweise erneut um eine Berechtigung gebeten. Sie können wählen, ob Sie diese Berechtigungen erteilen möchten oder nicht (wenn Sie sich dagegen entscheiden, wird die Website in den Abschnitt „Blockiert“ verschoben und fragt Sie nicht mehr nach der Berechtigung).

[Zurück zum Inhaltsverzeichnis]

Chrome-Webbrowser zurücksetzen:

Gehen Sie zu „Einstellungen“, scrollen Sie nach unten, bis Sie „Apps“ sehen, und tippen Sie darauf.

Scrollen Sie nach unten, bis Sie die Anwendung „Chrome“ finden, wählen Sie sie aus und tippen Sie auf die Option „Speicher“.

Tippen Sie auf „SPEICHER VERWALTEN“, dann auf „ALLE DATEN LÖSCHEN“ und bestätigen Sie die Aktion durch Tippen auf „OK“. Beachten Sie, dass durch das Zurücksetzen des Browsers alle darin gespeicherten Daten gelöscht werden. Das bedeutet, dass alle gespeicherten Anmeldedaten/Passwörter, der Browserverlauf, nicht standardmäßige Einstellungen und andere Daten gelöscht werden. Außerdem müssen Sie sich erneut bei allen Websites anmelden.

[Zurück zum Inhaltsverzeichnis]

Löschen Sie den Browserverlauf aus dem Firefox-Webbrowser:

Tippen Sie auf die Schaltfläche „Menü“ (drei Punkte in der oberen rechten Ecke des Bildschirms) und wählen Sie „Verlauf“ im sich öffnenden Dropdown-Menü.

Scrollen Sie nach unten, bis Sie „Private Daten löschen“ sehen, und tippen Sie darauf. Wählen Sie die Datentypen aus, die Sie entfernen möchten, und tippen Sie auf „DATEN LÖSCHEN“.

[Zurück zum Inhaltsverzeichnis]

Deaktivieren Sie Browser-Benachrichtigungen im Firefox-Webbrowser:

Rufen Sie die Website auf, die Browser-Benachrichtigungen sendet, tippen Sie auf das Symbol links neben der URL-Leiste (das Symbol muss nicht unbedingt „Sperren” lauten) und wählen Sie „Website-Einstellungen bearbeiten”.

Wählen Sie im geöffneten Pop-up-Fenster die Option „Benachrichtigungen“ und tippen Sie auf „LÖSCHEN“.

[Zurück zum Inhaltsverzeichnis]

Den Firefox-Webbrowser zurücksetzen:

Gehen Sie zu „Einstellungen“, scrollen Sie nach unten, bis Sie „Apps“ sehen, und tippen Sie darauf.

Scrollen Sie nach unten, bis Sie die Anwendung „Firefox“ finden, wählen Sie sie aus und tippen Sie auf die Option „Speicher“.

Tippen Sie auf „DATEN LÖSCHEN“ und bestätigen Sie den Vorgang durch Tippen auf „LÖSCHEN“. Beachten Sie, dass durch das Zurücksetzen des Browsers alle darin gespeicherten Daten gelöscht werden. Das bedeutet, dass alle gespeicherten Anmeldedaten/Passwörter, der Browserverlauf, nicht standardmäßige Einstellungen und andere Daten gelöscht werden. Außerdem müssen Sie sich erneut bei allen Websites anmelden.

[Zurück zum Inhaltsverzeichnis]

Deinstallieren Sie potenziell unerwünschte und/oder bösartige Anwendungen:

Gehen Sie zu „Einstellungen“, scrollen Sie nach unten, bis Sie „Apps“ sehen, und tippen Sie darauf.

Scrollen Sie nach unten, bis Sie eine potenziell unerwünschte und/oder schädliche Anwendung sehen, wählen Sie diese aus und tippen Sie auf „Deinstallieren“. Wenn Sie die ausgewählte App aus irgendeinem Grund nicht entfernen können (z. B. weil eine Fehlermeldung angezeigt wird), sollten Sie den „abgesicherten Modus“ verwenden.

[Zurück zum Inhaltsverzeichnis]

Starten Sie das Android-Gerät im „abgesicherten Modus“:

Der „abgesicherte Modus” im Android-Betriebssystem deaktiviert vorübergehend die Ausführung aller Anwendungen von Drittanbietern. Die Verwendung dieses Modus ist eine gute Möglichkeit, verschiedene Probleme zu diagnostizieren und zu lösen (z. B. das Entfernen bösartiger Anwendungen, die Sie daran hindern, dies zu tun, wenn das Gerät „normal” läuft).

Drücken Sie die Taste „Power“ und halten Sie sie gedrückt, bis der Bildschirm „Power off“ angezeigt wird. Tippen Sie auf das Symbol „Ausschalten“ und halten Sie es gedrückt. Nach einigen Sekunden erscheint die Option „Abgesicherter Modus“, die Sie durch Neustarten des Geräts ausführen können.

[Zurück zum Inhaltsverzeichnis]

Überprüfen Sie den Batterieverbrauch verschiedener Anwendungen:

Gehen Sie zu „Einstellungen“, scrollen Sie nach unten, bis Sie „Gerätewartung“ sehen, und tippen Sie darauf.

Tippen Sie auf „Akku“ und überprüfen Sie die Nutzung der einzelnen Anwendungen. Seriöse/echte Anwendungen sind so konzipiert, dass sie so wenig Energie wie möglich verbrauchen, um die bestmögliche Benutzererfahrung zu bieten und Strom zu sparen. Ein hoher Akkuverbrauch kann daher darauf hindeuten, dass es sich um eine schädliche Anwendung handelt.

[Zurück zum Inhaltsverzeichnis]

Überprüfen Sie die Datennutzung verschiedener Anwendungen:

Gehen Sie zu „Einstellungen“, scrollen Sie nach unten, bis Sie „Verbindungen“ sehen, und tippen Sie darauf.

Scrollen Sie nach unten, bis Sie „Datennutzung“ sehen, und wählen Sie diese Option aus. Wie beim Akku sind legitime/echte Anwendungen so konzipiert, dass sie die Datennutzung so weit wie möglich minimieren. Das bedeutet, dass eine hohe Datennutzung auf das Vorhandensein einer bösartigen Anwendung hindeuten kann. Beachten Sie, dass einige bösartige Anwendungen möglicherweise so konzipiert sind, dass sie nur funktionieren, wenn das Gerät mit einem drahtlosen Netzwerk verbunden ist. Aus diesem Grund sollten Sie sowohl die mobile als auch die WLAN-Datennutzung überprüfen.

Wenn Sie eine Anwendung finden, die viel Datenvolumen verbraucht, obwohl Sie sie nie nutzen, empfehlen wir Ihnen dringend, sie so schnell wie möglich zu deinstallieren.

[Zurück zum Inhaltsverzeichnis]

Installieren Sie die neuesten Software-Updates:

Die Software auf dem neuesten Stand zu halten, ist eine bewährte Vorgehensweise, wenn es um die Sicherheit von Geräten geht. Die Gerätehersteller veröffentlichen kontinuierlich verschiedene Sicherheitspatches und Android-Updates, um Fehler und Bugs zu beheben, die von Cyberkriminellen ausgenutzt werden können. Ein veraltetes System ist wesentlich anfälliger, weshalb Sie immer sicherstellen sollten, dass die Software Ihres Geräts auf dem neuesten Stand ist.

Gehen Sie zu „Einstellungen“, scrollen Sie nach unten, bis Sie „Software-Update“ sehen, und tippen Sie darauf.

Tippen Sie auf „Updates manuell herunterladen” und überprüfen Sie, ob Updates verfügbar sind. Wenn ja, installieren Sie diese sofort. Wir empfehlen außerdem, die Option „Updates automatisch herunterladen” zu aktivieren. Damit wird das System Sie benachrichtigen, sobald ein Update verfügbar ist, und/oder dieses automatisch installieren.

[Zurück zum Inhaltsverzeichnis]

Das System auf den Standardzustand zurücksetzen:

Das Durchführen eines „Zurücksetzen auf Werkseinstellungen” ist eine gute Möglichkeit, alle unerwünschten Anwendungen zu entfernen, die Systemeinstellungen auf die Standardeinstellungen zurückzusetzen und das Gerät insgesamt zu bereinigen. Sie müssen jedoch bedenken, dass alle Daten auf dem Gerät gelöscht werden, einschließlich Fotos, Video-/Audiodateien, Telefonnummern (die auf dem Gerät gespeichert sind, nicht auf der SIM-Karte), SMS-Nachrichten usw. Mit anderen Worten: Das Gerät wird in seinen ursprünglichen Zustand zurückversetzt.

Sie können auch die grundlegenden Systemeinstellungen und/oder einfach nur die Netzwerkeinstellungen wiederherstellen.

Gehen Sie zu „Einstellungen“, scrollen Sie nach unten, bis Sie „Über das Telefon“ sehen, und tippen Sie darauf.

Scrollen Sie nach unten, bis Sie „Zurücksetzen“ sehen, und tippen Sie darauf. Wählen Sie nun die Aktion aus, die Sie ausführen möchten:
„ Einstellungen zurücksetzen“ – alle Systemeinstellungen auf die Standardeinstellungen zurücksetzen;
„Netzwerkeinstellungen zurücksetzen“ – alle netzwerkbezogenen Einstellungen auf die Standardeinstellungen zurücksetzen;
„Auf Werkseinstellungen zurücksetzen“ – das gesamte System zurücksetzen und alle gespeicherten Daten vollständig löschen;

[Zurück zum Inhaltsverzeichnis]

Deaktivieren Sie Anwendungen, die über Administratorrechte verfügen:

Wenn eine bösartige Anwendung Administratorrechte erhält, kann sie das System ernsthaft beschädigen. Um das Gerät so sicher wie möglich zu halten, sollten Sie immer überprüfen, welche Apps über solche Rechte verfügen, und diejenigen deaktivieren, die diese Rechte nicht haben sollten.

Gehen Sie zu „Einstellungen“, scrollen Sie nach unten, bis Sie „Sperrbildschirm und Sicherheit“ sehen, und tippen Sie darauf.

Scrollen Sie nach unten, bis Sie „Weitere Sicherheitseinstellungen“ sehen, tippen Sie darauf und anschließend auf „Geräteadministrator-Apps“.

Identifizieren Sie Anwendungen, die keine Administratorrechte haben sollten, tippen Sie darauf und anschließend auf „DEAKTIVIEREN“.

Häufig gestellte Fragen (FAQ)

Mein Gerät ist mit der Herodotus-Malware infiziert. Sollte ich mein Speichergerät formatieren, um sie zu entfernen?

Durch das Formatieren des Geräts wird Herodotus entfernt, aber auch alle Dateien und Daten auf dem Laufwerk gelöscht. Um Datenverlust zu vermeiden, wird empfohlen, zunächst ein vertrauenswürdiges Antiviren- oder Malware-Entfernungsprogramm wie Combo Cleaner zu verwenden.

Was sind die größten Probleme, die Malware verursachen kann?

Angreifer können Malware einsetzen, um persönliche Daten und Bankdaten zu sammeln, Systeme zu beschädigen oder zu zerstören, Dateien mit Verschlüsselung zu sperren, die Fernsteuerung zu übernehmen, weitere Schadprogramme zu installieren und vieles mehr. Dies kann zu finanziellen Verlusten, Identitätsdiebstahl, Datenverlust und anderen Problemen führen.

Was ist der Zweck von Herodot?

Herodotus ist ein Android-Banking-Trojaner, der Barrierefreiheitsberechtigungen missbraucht, um die vollständige Fernsteuerung infizierter Geräte zu erlangen. Er stiehlt Anmeldedaten und 2FA (über gefälschte Overlays und SMS-Diebstahl), exfiltriert App-Listen, um Opfer anzusprechen, injiziert Eingaben, um betrügerische Transaktionen durchzuführen, und sorgt für Persistenz.

Wie ist Herodot in mein Gerät gelangt?

Herodotus infiziert Benutzer, wenn sie einen Dropper über einen betrügerischen SMS-Link sideloaden. Der Dropper installiert und startet die Malware, die sich oft als legitime Banking-App tarnt.

Schützt mich Combo Cleaner vor Malware?

Combo Cleaner kann fast alle bekannten Malware-Programme erkennen und entfernen. Fortgeschrittene Bedrohungen verstecken sich jedoch oft tief im System, sodass eine vollständige Systemprüfung unerlässlich ist.