Hoe Herodotus van geïnfecteerde Android-apparaten te verwijderen

Wat voor soort malware is Herodotus?

Herodotus is Android-malware die apparaten overneemt en probeert echte menselijke handelingen na te bootsen om op gedrag gebaseerde beveiligingscontroles te omzeilen. Het is al gebruikt bij aanvallen in Italië en Brazilië, en er is al een Malware-as-a-Service-model aangekondigd. Er zijn aanwijzingen dat de malware in de toekomst mogelijk extra functies krijgt.

Herodotus in detail

Herodotus wordt verspreid via sideloading, vaak via sms-berichten die slachtoffers naar een kwaadaardige link lokken, die een dropper aflevert. Wanneer deze wordt uitgevoerd, installeert de dropper de payload op een manier die bedoeld is om de beperkingen van Android 13 (en latere versies) op toegankelijkheidsservices te omzeilen. De dropper start Herodotus en opent de toegankelijkheidsinstellingen om het slachtoffer ertoe aan te zetten deze in te schakelen.

Zodra toestemming is verleend, toont Herodotus een vals laadscherm om misbruik van toestemming te verbergen, waarna het zich klaarmaakt om inloggegevens te stelen en het apparaat over te nemen. Het stuurt ook de lijst met geïnstalleerde apps naar zijn C2, ontvangt specifieke doelen en overlay-pagina's en wacht tot het slachtoffer een van die apps opent, waarna het een vals inlogscherm weergeeft om inloggegevens te stelen.

Met Herodotus kunnen cybercriminelen op items tikken, op specifieke punten op het scherm drukken, tekst typen, vegen en systeemknoppen zoals 'Terug', 'Home' en 'Recente' gebruiken, waardoor ze volledig op afstand met het apparaat kunnen communiceren. Hierdoor kunnen ze geld stelen door transacties op de rekening van het slachtoffer uit te voeren.

Wanneer criminelen tekst invoeren op het apparaat van een slachtoffer, kunnen ze deze handmatig typen met behulp van het toetsenbord van het apparaat of deze rechtstreeks in de invoervelden invoeren. Handmatig typen gaat langzaam, dus veel banktrojanen maken gebruik van directe tekstinjectie om ervoor te zorgen dat de juiste tekst onmiddellijk wordt ingevoerd.

Deze methode kan echter onnatuurlijk overkomen en antifraudesystemen activeren, dus Herodotus probeert dit te verbergen door de tekst op te splitsen in afzonderlijke tekens en willekeurige vertragingen in te voegen.

Herodotus kan ook een blokkerende overlay weergeven, een vals scherm dat over de echte gebruikersinterface wordt geplaatst en dat frauduleuze activiteiten voor het slachtoffer verbergt, terwijl het gedeeltelijk zichtbaar blijft voor de aanvaller. Een aparte overlay-opdracht richt zich op bankapps en houdt slachtoffers weg van de app, zodat ze geen transacties kunnen zien of contact kunnen opnemen met hun bank.

Herodotus kan ook valse overlays weergeven die inloggegevens stelen, sms-berichten stelen om 2FA-codes te bemachtigen en op toegankelijkheid gebaseerde keylogging uitvoeren om gegevens op het scherm vast te leggen. Bovendien kan de malware geïnfecteerde apparaten ontgrendelen, bestanden beheren, pincodes, wachtwoorden en biometrische gegevens vastleggen, APK's op afstand installeren en persistentie handhaven.

Herodotus heeft zich in Italië voorgedaan als Banca Sicura en in Brazilië als Modulo Seguranca Stone om slachtoffers te misleiden en hen ertoe te brengen het programma te installeren. Hoewel andere actieve aanvallen nog niet zijn bevestigd, wijzen sommige overlays erop dat Herodotus zich voorbereidt om banken en cryptoplatforms in de VS, Turkije, het Verenigd Koninkrijk en Polen aan te vallen.

Conclusie

Herodotus is een geavanceerde Android-banktrojan die moderne toegankelijkheidsbeveiligingen omzeilt om permanente controle over geïnfecteerde apparaten te krijgen. Het combineert valse overlays, sms-onderschepping, schermregistratie en mogelijkheden voor bediening op afstand om inloggegevens te stelen en ongeoorloofde transacties uit te voeren.

Als Herodotus op een apparaat wordt gedetecteerd, moet het zo snel mogelijk worden verwijderd. Enkele voorbeelden van andere banktrojanen die zich richten op Android-gebruikers zijn Klopatra, Datzbro en RedHook.

Hoe is Herodotus mijn apparaat binnengedrongen?

Gebruikers raken meestal geïnfecteerd via sideloading. Slachtoffers ontvangen een misleidende sms met een link naar een kwaadaardige dropper, die het slachtoffer downloadt en installeert. De dropper installeert en start vervolgens Herodotus. Het is bekend dat Herodotus zich vaak voordoet als een bankapp (bijvoorbeeld Banca Sicura of Modulo Seguranca Stone).

Hoe voorkom je de installatie van malware?

Download apps alleen van betrouwbare bronnen zoals Google Play, de Apple App Store of officiële websites. Werk het besturingssysteem en geïnstalleerde applicaties regelmatig bij. Gebruik betrouwbare beveiligingssoftware voor mobiele apparaten. Klik niet op links in verdachte e-mails, sms-berichten of berichten op sociale media.

Klik bovendien niet op links, advertenties, pop-ups, knoppen enz. op verdachte websites.

Een vals overlay-venster dat door de malware wordt weergegeven (bron: threatfabric.com):

Beheerpaneel (bron: threatfabric.com):

Snelmenu:

• Inleiding
• Hoe verwijder je de browsegeschiedenis uit de Chrome-webbrowser?
• Hoe schakel je browsermeldingen uit in de Chrome-webbrowser?
• Hoe reset ik de Chrome-webbrowser?
• Hoe verwijder je de browsegeschiedenis uit de Firefox-webbrowser?
• Hoe schakel je browsermeldingen uit in de Firefox-webbrowser?
• Hoe reset ik de Firefox-webbrowser?
• Hoe verwijder je mogelijk ongewenste en/of schadelijke applicaties?
• Hoe start ik het Android-apparaat op in de "veilige modus"?
• Hoe kan ik het batterijverbruik van verschillende applicaties controleren?
• Hoe kan ik het gegevensverbruik van verschillende applicaties controleren?
• Hoe installeer ik de nieuwste software-updates?
• Hoe kan ik het systeem terugzetten naar de standaardinstellingen?
• Hoe schakel je applicaties met beheerdersrechten uit?

Verwijder de browsegeschiedenis uit de Chrome-webbrowser:

Tik op de knop "Menu" (drie puntjes in de rechterbovenhoek van het scherm) en selecteer "Geschiedenis" in het geopende vervolgkeuzemenu.

Tik op "Browsegegevens wissen", selecteer het tabblad "GEAVANCEERD", kies het tijdsbereik en de gegevenstypen die u wilt verwijderen en tik op "Gegevens wissen".

[Terug naar de inhoudsopgave]

Schakel browsermeldingen uit in de Chrome-webbrowser:

Tik op de knop "Menu" (drie puntjes in de rechterbovenhoek van het scherm) en selecteer "Instellingen" in het geopende vervolgkeuzemenu.

Scroll naar beneden totdat je de optie "Site-instellingen" ziet en tik erop. Scroll naar beneden totdat je de optie "Meldingen" ziet en tik erop.

Zoek de websites die browsermeldingen versturen, tik erop en klik op "Wissen en resetten". Hierdoor worden de machtigingen die aan deze websites zijn verleend om meldingen te versturen, verwijderd. Wanneer u dezelfde site echter opnieuw bezoekt, kan deze opnieuw om toestemming vragen. U kunt kiezen of u deze toestemmingen wilt verlenen of niet (als u ervoor kiest om te weigeren, gaat de website naar het gedeelte "Geblokkeerd" en zal u niet langer om toestemming worden gevraagd).

[Terug naar de inhoudsopgave]

De Chrome-webbrowser opnieuw instellen:

Ga naar "Instellingen", scroll naar beneden totdat je "Apps" ziet en tik erop.

Scroll naar beneden totdat u de applicatie "Chrome" vindt, selecteer deze en tik op de optie "Opslag".

Tik op "OPSLAG BEHEREN", vervolgens op "ALLE GEGEVENS WISSEN" en bevestig de actie door op "OK" te tikken. Houd er rekening mee dat door het resetten van de browser alle gegevens die daarin zijn opgeslagen, worden verwijderd. Dit betekent dat alle opgeslagen logins/wachtwoorden, browsegeschiedenis, niet-standaard instellingen en andere gegevens worden verwijderd. U moet ook opnieuw inloggen op alle websites.

[Terug naar de inhoudsopgave]

Verwijder de browsegeschiedenis uit de Firefox-webbrowser:

Tik op de knop "Menu" (drie puntjes in de rechterbovenhoek van het scherm) en selecteer "Geschiedenis" in het geopende vervolgkeuzemenu.

Scroll naar beneden totdat je "Privégegevens wissen" ziet en tik erop. Selecteer de gegevenstypen die je wilt verwijderen en tik op "GEGEVENS WISSEN".

[Terug naar de inhoudsopgave]

Schakel browsermeldingen uit in de Firefox-webbrowser:

Ga naar de website die browsermeldingen verstuurt, tik op het pictogram links van de URL-balk (het pictogram is niet noodzakelijkerwijs een "Slot") en selecteer "Site-instellingen bewerken".

In het geopende pop-upvenster selecteer je de optie "Meldingen" en tik je op "WISSEN".

[Terug naar de inhoudsopgave]

De Firefox-webbrowser opnieuw instellen:

Ga naar "Instellingen", scroll naar beneden totdat je "Apps" ziet en tik erop.

Scroll naar beneden totdat u de applicatie "Firefox" vindt, selecteer deze en tik op de optie "Opslag".

Tik op "GEGEVENS WISSEN" en bevestig de actie door op "VERWIJDEREN" te tikken. Houd er rekening mee dat bij het resetten van de browser alle opgeslagen gegevens worden verwijderd. Dit betekent dat alle opgeslagen aanmeldingen/wachtwoorden, browsegeschiedenis, niet-standaard instellingen en andere gegevens worden verwijderd. U moet zich ook opnieuw aanmelden bij alle websites.

[Terug naar de inhoudsopgave]

Verwijder mogelijk ongewenste en/of schadelijke applicaties:

Ga naar "Instellingen", scroll naar beneden totdat je "Apps" ziet en tik erop.

Scroll naar beneden totdat u een mogelijk ongewenste en/of schadelijke applicatie ziet, selecteer deze en tik op "Verwijderen". Als u om een of andere reden de geselecteerde app niet kunt verwijderen (bijvoorbeeld omdat u een foutmelding krijgt), kunt u de "Veilige modus" gebruiken.

[Terug naar de inhoudsopgave]

Start het Android-apparaat op in "Veilige modus":

De "Veilige modus" in het Android-besturingssysteem schakelt tijdelijk alle applicaties van derden uit. Het gebruik van deze modus is een goede manier om verschillende problemen te diagnosticeren en op te lossen (bijvoorbeeld het verwijderen van kwaadaardige applicaties die u hiervan weerhouden wanneer het apparaat "normaal" werkt).

Druk op de knop "Power" en houd deze ingedrukt totdat het scherm "Power off" verschijnt. Tik op het pictogram "Power off" en houd het ingedrukt. Na enkele seconden verschijnt de optie "Safe Mode" en kunt u deze uitvoeren door het apparaat opnieuw op te starten.

[Terug naar de inhoudsopgave]

Controleer het batterijverbruik van verschillende applicaties:

Ga naar "Instellingen", scroll naar beneden totdat je "Apparaatonderhoud" ziet en tik erop.

Tik op "Batterij" en controleer het gebruik van elke applicatie. Legitieme/echte applicaties zijn ontworpen om zo min mogelijk energie te verbruiken om de beste gebruikerservaring te bieden en stroom te besparen. Een hoog batterijverbruik kan daarom erop wijzen dat de applicatie kwaadaardig is.

[Terug naar de inhoudsopgave]

Controleer het gegevensgebruik van verschillende applicaties:

Ga naar "Instellingen", scroll naar beneden totdat je "Verbindingen" ziet en tik erop.

Scroll naar beneden totdat u "Datagebruik" ziet en selecteer deze optie. Net als bij de batterij zijn legitieme/echte applicaties ontworpen om het datagebruik zo veel mogelijk te beperken. Dit betekent dat een enorm datagebruik kan duiden op de aanwezigheid van een kwaadaardige applicatie. Houd er rekening mee dat sommige kwaadaardige applicaties mogelijk zijn ontworpen om alleen te werken wanneer het apparaat is verbonden met een draadloos netwerk. Controleer daarom zowel het mobiele datagebruik als het wifi-datagebruik.

Als u een applicatie vindt die veel data verbruikt, ook al gebruikt u deze nooit, dan raden wij u ten zeerste aan om deze zo snel mogelijk te verwijderen.

[Terug naar de inhoudsopgave]

Installeer de nieuwste software-updates:

Het up-to-date houden van de software is een goede gewoonte als het gaat om de veiligheid van apparaten. De fabrikanten van apparaten brengen voortdurend verschillende beveiligingspatches en Android-updates uit om fouten en bugs te verhelpen die door cybercriminelen kunnen worden misbruikt. Een verouderd systeem is veel kwetsbaarder, daarom moet u er altijd voor zorgen dat de software van uw apparaat up-to-date is.

Ga naar "Instellingen", scroll naar beneden totdat u "Software-update" ziet en tik erop.

Tik op "Updates handmatig downloaden" en controleer of er updates beschikbaar zijn. Als dat het geval is, installeer ze dan onmiddellijk. We raden ook aan om de optie "Updates automatisch downloaden" in te schakelen. Hierdoor wordt het systeem ingesteld om u te waarschuwen zodra er een update beschikbaar is en/of deze automatisch te installeren.

[Terug naar de inhoudsopgave]

Het systeem terugzetten naar de standaardstatus:

Het uitvoeren van een "Fabrieksinstellingen herstellen" is een goede manier om alle ongewenste applicaties te verwijderen, de systeeminstellingen terug te zetten naar de standaardinstellingen en het apparaat in het algemeen op te schonen. Houd er echter rekening mee dat alle gegevens op het apparaat worden verwijderd, inclusief foto's, video-/audiobestanden, telefoonnummers (opgeslagen op het apparaat, niet op de simkaart), sms-berichten, enzovoort. Met andere woorden, het apparaat wordt teruggezet naar de oorspronkelijke staat.

U kunt ook de basisinstellingen van het systeem en/of alleen de netwerkinstellingen herstellen.

Ga naar "Instellingen", scroll naar beneden totdat je "Over de telefoon" ziet en tik erop.

Scroll naar beneden totdat u "Reset" ziet en tik erop. Kies nu de actie die u wilt uitvoeren:
" Instellingen resetten" - herstel alle systeeminstellingen naar de standaardinstellingen;
"Netwerkinstellingen resetten" - herstel alle netwerkgerelateerde instellingen naar de standaardinstellingen;
"Fabrieksinstellingen herstellen" - reset het hele systeem en verwijder alle opgeslagen gegevens volledig;

[Terug naar de inhoudsopgave]

Schakel applicaties met beheerdersrechten uit:

Als een kwaadaardige applicatie beheerdersrechten krijgt, kan dit ernstige schade aan het systeem veroorzaken. Om het apparaat zo veilig mogelijk te houden, moet u altijd controleren welke apps dergelijke rechten hebben en de apps die dat niet zouden moeten hebben, uitschakelen.

Ga naar "Instellingen", scroll naar beneden totdat u "Vergrendelingsscherm en beveiliging" ziet en tik erop.

Scroll naar beneden totdat je "Overige beveiligingsinstellingen" ziet, tik erop en tik vervolgens op "App's voor apparaatbeheer".

Identificeer applicaties die geen beheerdersrechten zouden moeten hebben, tik erop en tik vervolgens op "DEACTIVEREN".

Veelgestelde vragen (FAQ)

Mijn apparaat is geïnfecteerd met Herodotus-malware. Moet ik mijn opslagapparaat formatteren om ervan af te komen?

Door het apparaat te formatteren wordt Herodotus verwijderd, maar worden ook alle bestanden en gegevens op de schijf gewist. Om gegevensverlies te voorkomen, wordt aanbevolen om eerst een betrouwbaar antivirus- of malwareverwijderingsprogramma te gebruiken, zoals Combo Cleaner.

Wat zijn de grootste problemen die malware kan veroorzaken?

Aanvallers kunnen malware gebruiken om persoonlijke en bankgegevens te verzamelen, systemen te verstoren of te beschadigen, bestanden te vergrendelen met encryptie, op afstand controle over te nemen, verdere payloads te plaatsen en nog veel meer. Dit kan leiden tot geldelijk verlies, identiteitsdiefstal, gegevensverlies en andere problemen.

Wat is het doel van Herodotus?

Herodotus is een Android-banktrojan die misbruik maakt van toegankelijkheidsrechten om volledige controle op afstand te krijgen over geïnfecteerde apparaten. Het steelt inloggegevens en 2FA (via valse overlays en sms-diefstal), exfiltreert app-lijsten om slachtoffers te targeten, injecteert invoer om frauduleuze transacties te voltooien en blijft persistent aanwezig.

Hoe is Herodotus mijn apparaat binnengedrongen?

Herodotus infecteert gebruikers wanneer ze een dropper sideloaden via een misleidende sms-link. De dropper installeert en start de malware, die zich vaak voordoet als een legitieme bankapp.

Beschermt Combo Cleaner mij tegen malware?

Combo Cleaner kan bijna alle bekende malware detecteren en verwijderen. Geavanceerde bedreigingen zitten echter vaak diep in het systeem verborgen, dus het is essentieel om een volledige systeemscan uit te voeren.