Comment éliminer Herodotus des appareils Android infectés

Quel type de logiciel malveillant est Herodotus ?

Herodotus est un malware Android qui prend le contrôle des appareils et tente d'imiter les actions humaines réelles afin d'échapper aux contrôles de sécurité basés sur le comportement. Il a déjà été utilisé dans des attaques en Italie et au Brésil, et un modèle Malware-as-a-Service a déjà été annoncé. Certains indices laissent penser que ce malware pourrait disposer de fonctionnalités supplémentaires à l'avenir.

Hérodote en détail

Herodotus se propage par sideloading, souvent via des SMS qui attirent les victimes vers un lien malveillant, qui délivre un dropper. Une fois exécuté, le dropper installe la charge utile de manière à contourner les restrictions d'Android 13 (et versions ultérieures) sur les services d'accessibilité. Le dropper lance Herodotus et ouvre les paramètres d'accessibilité pour inciter la victime à l'activer.

Une fois l'autorisation accordée, Herodotus affiche un faux écran de chargement pour dissimuler l'abus d'autorisation, puis se prépare à voler les identifiants et à prendre le contrôle de l'appareil. Il envoie également la liste des applications installées à son C2, reçoit des cibles spécifiques et des pages de superposition, puis attend que la victime ouvre l'une de ces applications, où il affichera un faux écran de connexion pour voler les identifiants.

Avec Herodotus, les cybercriminels peuvent appuyer sur des éléments, appuyer sur des points spécifiques de l'écran, taper du texte, balayer et utiliser des boutons système tels que « Retour », « Accueil » et « Récent », ce qui leur permet d'interagir à distance avec l'appareil. Ils peuvent ainsi voler de l'argent en effectuant des transactions sur le compte de la victime.

Lorsque les criminels saisissent du texte sur l'appareil d'une victime, ils peuvent le taper manuellement à l'aide du clavier de l'appareil ou l'injecter directement dans les champs de saisie. La saisie manuelle étant lente, de nombreux chevaux de Troie bancaires utilisent l'injection directe de texte pour s'assurer que le texte correct est saisi instantanément.

Cependant, cette méthode peut sembler peu naturelle et déclencher des systèmes anti-fraude. Herodotus tente donc de la dissimuler en divisant le texte en caractères individuels et en insérant des délais aléatoires.

De plus, Herodotus peut afficher une superposition bloquante, un faux écran placé sur l'interface utilisateur réelle qui cache les activités frauduleuses à la victime tout en restant partiellement visible pour l'attaquant. Une commande de superposition distincte cible les applications bancaires, empêchant les victimes d'accéder à l'application afin qu'elles ne puissent pas voir les transactions ou contacter leur banque.

Herodotus peut également afficher de fausses superpositions qui volent les identifiants, interceptent les SMS pour récupérer les codes 2FA et effectuent un keylogging basé sur l'accessibilité pour capturer les données à l'écran. De plus, le logiciel malveillant peut déverrouiller les appareils infectés, gérer les fichiers, capturer les codes PIN, les mots de passe et les données biométriques, installer des APK à distance et maintenir sa persistance.

Herodotus s'est fait passer pour Banca Sicura en Italie et Modulo Seguranca Stone au Brésil afin d'inciter les victimes à l'installer. Bien qu'aucune autre attaque active n'ait encore été confirmée, certaines superpositions indiquent qu'Herodotus se prépare à cibler des banques et des plateformes cryptographiques aux États-Unis, en Turquie, au Royaume-Uni et en Pologne.

Conclusion

Herodotus est un cheval de Troie bancaire Android sophistiqué qui contourne les protections d'accessibilité modernes afin d'obtenir un contrôle permanent sur les appareils infectés. Il combine de fausses superpositions, l'interception de SMS, l'enregistrement d'écran et des capacités de contrôle à distance pour voler des identifiants et effectuer des transactions non autorisées.

S'il est détecté sur un appareil, Herodotus doit être supprimé dès que possible. Parmi les autres chevaux de Troie bancaires ciblant les utilisateurs d'Android, on peut citer Klopatra, Datzbro et RedHook.

Comment Hérodote s'est-il infiltré dans mon appareil ?

Les utilisateurs sont généralement infectés via le sideloading. Les victimes reçoivent un SMS trompeur contenant un lien vers un dropper malveillant, que la victime télécharge et installe. Le dropper installe et lance ensuite Herodotus. On sait qu'Herodotus se fait souvent passer pour une application bancaire (par exemple, Banca Sicura ou Modulo Seguranca Stone).

Comment éviter l'installation de logiciels malveillants ?

Téléchargez uniquement des applications provenant de sources fiables telles que Google Play, l'App Store d'Apple ou les sites Web officiels. Mettez régulièrement à jour le système d'exploitation et les applications installées. Utilisez un logiciel de sécurité mobile fiable. Évitez de cliquer sur les liens contenus dans des e-mails, SMS ou messages sur les réseaux sociaux suspects.

De plus, ne cliquez pas sur les liens, les publicités, les fenêtres contextuelles, les boutons, etc. sur les sites Web suspects.

Une fausse fenêtre superposée affichée par le logiciel malveillant (source : threatfabric.com) :

Panneau d'administration (source : threatfabric.com) :

Menu rapide :

• Introduction
• Comment supprimer l'historique de navigation du navigateur web Chrome ?
• Comment désactiver les notifications du navigateur dans le navigateur Web Chrome ?
• Comment réinitialiser le navigateur web Chrome ?
• Comment supprimer l'historique de navigation du navigateur web Firefox ?
• Comment désactiver les notifications du navigateur dans le navigateur Web Firefox ?
• Comment réinitialiser le navigateur web Firefox ?
• Comment désinstaller les applications potentiellement indésirables et/ou malveillantes ?
• Comment démarrer l'appareil Android en « mode sans échec » ?
• Comment vérifier l'utilisation de la batterie par différentes applications ?
• Comment vérifier l'utilisation des données de différentes applications ?
• Comment installer les dernières mises à jour logicielles ?
• Comment réinitialiser le système à son état par défaut ?
• Comment désactiver les applications disposant de privilèges d'administrateur ?

Supprimer l'historique de navigation du navigateur Web Chrome :

Appuyez sur le bouton « Menu » (trois points dans le coin supérieur droit de l'écran) et sélectionnez « Historique » dans le menu déroulant qui s'ouvre.

Appuyez sur « Effacer les données de navigation », sélectionnez l'onglet « AVANCÉ », choisissez la période et les types de données que vous souhaitez supprimer, puis appuyez sur « Effacer les données ».

[Retour à la Table des Matières]

Désactiver les notifications du navigateur dans le navigateur Web Chrome :

Appuyez sur le bouton « Menu » (trois points dans le coin supérieur droit de l'écran) et sélectionnez « Paramètres » dans le menu déroulant qui s'ouvre.

Faites défiler vers le bas jusqu'à ce que vous voyiez l'option « Paramètres du site » et appuyez dessus. Faites défiler vers le bas jusqu'à ce que vous voyiez l'option « Notifications » et appuyez dessus.

Recherchez les sites Web qui envoient des notifications par navigateur, appuyez dessus et cliquez sur « Effacer et réinitialiser ». Cela supprimera les autorisations accordées à ces sites Web pour envoyer des notifications. Cependant, lorsque vous visiterez à nouveau le même site, il se peut qu'il vous demande à nouveau l'autorisation. Vous pouvez choisir d'accorder ou non ces autorisations (si vous choisissez de refuser, le site web passera dans la section « Bloqué » et ne vous demandera plus l'autorisation).

[Retour à la Table des Matières]

Réinitialisez le navigateur Web Chrome :

Allez dans « Paramètres », faites défiler vers le bas jusqu'à ce que vous voyiez « Applications » et appuyez dessus.

Faites défiler vers le bas jusqu'à trouver l'application « Chrome », sélectionnez-la et appuyez sur l'option « Stockage ».

Appuyez sur « GÉRER LE STOCKAGE », puis sur « EFFACER TOUTES LES DONNÉES » et confirmez l'action en appuyant sur « OK ». Notez que la réinitialisation du navigateur supprimera toutes les données qui y sont stockées. Cela signifie que tous les identifiants/mots de passe enregistrés, l'historique de navigation, les paramètres non par défaut et autres données seront supprimés. Vous devrez également vous reconnecter à tous les sites web.

[Retour à la Table des Matières]

Supprimer l'historique de navigation du navigateur Web Firefox :

Appuyez sur le bouton « Menu » (trois points dans le coin supérieur droit de l'écran) et sélectionnez « Historique » dans le menu déroulant qui s'ouvre.

Faites défiler vers le bas jusqu'à ce que vous voyiez « Effacer les données privées » et appuyez dessus. Sélectionnez les types de données que vous souhaitez supprimer et appuyez sur « EFFACER LES DONNÉES ».

[Retour à la Table des Matières]

Désactiver les notifications du navigateur dans le navigateur Web Firefox :

Rendez-vous sur le site Web qui affiche les notifications du navigateur, appuyez sur l'icône affichée à gauche de la barre d'adresse (l'icône ne sera pas nécessairement « Verrouiller ») et sélectionnez « Modifier les paramètres du site ».

Dans la fenêtre contextuelle qui s'ouvre, sélectionnez l'option « Notifications » et appuyez sur « EFFACER ».

[Retour à la Table des Matières]

Réinitialisez le navigateur Web Firefox :

Allez dans « Paramètres », faites défiler vers le bas jusqu'à ce que vous voyiez « Applications » et appuyez dessus.

Faites défiler vers le bas jusqu'à trouver l'application « Firefox », sélectionnez-la et appuyez sur l'option « Stockage ».

Appuyez sur « EFFACER LES DONNÉES » et confirmez l'action en appuyant sur « SUPPRIMER ». Notez que la réinitialisation du navigateur supprimera toutes les données qui y sont stockées. Cela signifie que tous les identifiants/mots de passe enregistrés, l'historique de navigation, les paramètres non par défaut et autres données seront supprimés. Vous devrez également vous reconnecter à tous les sites web.

[Retour à la Table des Matières]

Désinstallez les applications potentiellement indésirables et/ou malveillantes :

Allez dans « Paramètres », faites défiler vers le bas jusqu'à ce que vous voyiez « Applications » et appuyez dessus.

Faites défiler vers le bas jusqu'à ce que vous voyiez une application potentiellement indésirable et/ou malveillante, sélectionnez-la et appuyez sur « Désinstaller ». Si, pour une raison quelconque, vous ne parvenez pas à supprimer l'application sélectionnée (par exemple, si un message d'erreur s'affiche), essayez d'utiliser le « Mode sans échec ».

[Retour à la Table des Matières]

Démarrez l'appareil Android en « mode sans échec » :

Le « mode sans échec » du système d'exploitation Android désactive temporairement toutes les applications tierces. L'utilisation de ce mode est un bon moyen de diagnostiquer et de résoudre divers problèmes (par exemple, supprimer les applications malveillantes qui vous empêchent de le faire lorsque l'appareil fonctionne « normalement »).

Appuyez sur le bouton « Power » et maintenez-le enfoncé jusqu'à ce que l'écran « Power off » s'affiche. Appuyez sur l'icône « Power off » et maintenez-la enfoncée. Après quelques secondes, l'option « Safe Mode » apparaîtra et vous pourrez l'exécuter en redémarrant l'appareil.

[Retour à la Table des Matières]

Vérifiez l'utilisation de la batterie par différentes applications :

Allez dans « Paramètres », faites défiler vers le bas jusqu'à ce que vous voyiez « Maintenance de l'appareil » et appuyez dessus.

Appuyez sur « Batterie » et vérifiez l'utilisation de chaque application. Les applications légitimes/authentiques sont conçues pour consommer le moins d'énergie possible afin d'offrir la meilleure expérience utilisateur et d'économiser de l'énergie. Par conséquent, une utilisation élevée de la batterie peut indiquer que l'application est malveillante.

[Retour à la Table des Matières]

Vérifiez l'utilisation des données de différentes applications :

Allez dans « Paramètres », faites défiler vers le bas jusqu'à ce que vous voyiez « Connexions » et appuyez dessus.

Faites défiler vers le bas jusqu'à ce que vous voyiez « Utilisation des données » et sélectionnez cette option. Comme pour la batterie, les applications légitimes/authentiques sont conçues pour minimiser autant que possible l'utilisation des données. Cela signifie qu'une utilisation importante des données peut indiquer la présence d'une application malveillante. Notez que certaines applications malveillantes peuvent être conçues pour fonctionner uniquement lorsque l'appareil est connecté à un réseau sans fil. C'est pourquoi vous devez vérifier à la fois l'utilisation des données mobiles et Wi-Fi.

Si vous trouvez une application qui utilise beaucoup de données alors que vous ne l'utilisez jamais, nous vous recommandons vivement de la désinstaller dès que possible.

[Retour à la Table des Matières]

Installez les dernières mises à jour logicielles :

Maintenir le logiciel à jour est une bonne pratique en matière de sécurité des appareils. Les fabricants d'appareils publient en permanence divers correctifs de sécurité et mises à jour Android afin de corriger les erreurs et les bogues qui peuvent être exploités par les cybercriminels. Un système obsolète est beaucoup plus vulnérable, c'est pourquoi vous devez toujours vous assurer que le logiciel de votre appareil est à jour.

Allez dans « Paramètres », faites défiler vers le bas jusqu'à ce que vous voyiez « Mise à jour logicielle » et appuyez dessus.

Appuyez sur « Télécharger les mises à jour manuellement » et vérifiez si des mises à jour sont disponibles. Si c'est le cas, installez-les immédiatement. Nous vous recommandons également d'activer l'option « Télécharger les mises à jour automatiquement » : cela permettra au système de vous avertir dès qu'une mise à jour est disponible et/ou de l'installer automatiquement.

[Retour à la Table des Matières]

Réinitialisez le système à son état par défaut :

Effectuer une « réinitialisation d'usine » est un bon moyen de supprimer toutes les applications indésirables, de restaurer les paramètres par défaut du système et de nettoyer l'appareil en général. Cependant, vous devez garder à l'esprit que toutes les données contenues dans l'appareil seront supprimées, y compris les photos, les fichiers vidéo/audio, les numéros de téléphone (stockés dans l'appareil, et non sur la carte SIM), les messages SMS, etc. En d'autres termes, l'appareil sera restauré à son état d'origine.

Vous pouvez également restaurer les paramètres système de base et/ou simplement les paramètres réseau.

Allez dans « Paramètres », faites défiler vers le bas jusqu'à ce que vous voyiez « À propos du téléphone » et appuyez dessus.

Faites défiler vers le bas jusqu'à ce que vous voyiez « Réinitialiser » et appuyez dessus. Choisissez maintenant l'action que vous souhaitez effectuer :
Réinitialiser les paramètres » : rétablit tous les paramètres système par défaut ;
« Réinitialiser les paramètres réseau » : rétablit tous les paramètres liés au réseau par défaut ;
« Réinitialisation des données d'usine » : réinitialise l'ensemble du système et supprime complètement toutes les données stockées ;

[Retour à la Table des Matières]

Désactivez les applications disposant de privilèges d'administrateur :

Si une application malveillante obtient des privilèges de niveau administrateur, elle peut gravement endommager le système. Pour assurer la sécurité maximale de votre appareil, vous devez toujours vérifier quelles applications disposent de tels privilèges et désactiver celles qui ne devraient pas en avoir.

Allez dans « Paramètres », faites défiler vers le bas jusqu'à ce que vous voyiez « Écran de verrouillage et sécurité » et appuyez dessus.

Faites défiler vers le bas jusqu'à ce que vous voyiez « Autres paramètres de sécurité », appuyez dessus, puis appuyez sur « Applications d'administration de l'appareil ».

Identifiez les applications qui ne devraient pas disposer de privilèges d'administrateur, appuyez dessus, puis appuyez sur « DÉSACTIVER ».

Foire aux questions (FAQ)

Mon appareil est infecté par le malware Herodotus, dois-je formater mon périphérique de stockage pour m'en débarrasser ?

Le formatage de l'appareil supprimera Herodotus, mais effacera également tous les fichiers et toutes les données présents sur le disque. Pour éviter toute perte de données, il est recommandé d'essayer d'abord un programme antivirus ou de suppression des logiciels malveillants fiable, tel que Combo Cleaner.

Quels sont les principaux problèmes que peuvent causer les logiciels malveillants ?

Les pirates peuvent utiliser des logiciels malveillants pour collecter des données personnelles et bancaires, endommager ou corrompre des systèmes, verrouiller des fichiers à l'aide d'un cryptage, prendre le contrôle à distance, installer d'autres charges utiles, etc. Cela peut entraîner des pertes financières, des usurpations d'identité, des pertes de données et d'autres problèmes.

Quel est le but d'Hérodote ?

Herodotus est un cheval de Troie bancaire Android qui abuse des autorisations d'accessibilité pour prendre le contrôle total à distance des appareils infectés. Il vole les identifiants et les codes 2FA (via de fausses superpositions et le vol de SMS), exfiltre les listes d'applications pour cibler les victimes, injecte des données pour effectuer des transactions frauduleuses et maintient sa persistance.

Comment Hérodote s'est-il infiltré dans mon appareil ?

Herodotus infecte les utilisateurs lorsqu'ils téléchargent un dropper à partir d'un lien SMS trompeur. Le dropper installe et lance le logiciel malveillant, qui se fait souvent passer pour une application bancaire légitime.

Combo Cleaner me protégera-t-il contre les logiciels malveillants ?

Combo Cleaner peut détecter et supprimer presque tous les logiciels malveillants connus. Cependant, les menaces avancées se cachent souvent profondément dans le système, il est donc essentiel d'effectuer une analyse complète du système.