Malware Android Baru ‘Herodotus’ Meniru Ketikan Manusia untuk Hindari Deteksi Keamanan

Jakarta — Peneliti keamanan dari ThreatFabric menemukan malware Android baru bernama Herodotus yang menggunakan teknik canggih untuk meniru perilaku manusia saat mengetik demi menghindari deteksi oleh sistem keamanan berbasis perilaku.

📱 Meniru Cara Manusia Mengetik

Herodotus merupakan malware-as-a-service (MaaS) yang disediakan bagi pelaku kejahatan siber dengan motif finansial — diyakini dikembangkan oleh kelompok yang sama di balik malware Brokewell.
Berbeda dari malware lain, Herodotus memperkenalkan mekanisme unik yang disebut “humanizer”, yang membuat malware mengetik teks dengan jeda acak antara 0,3 hingga 3 detik — menyerupai ritme ketikan manusia.

“Dengan menunda input teks secara acak, pelaku mencoba menghindari deteksi oleh sistem anti-fraud yang menganalisis kecepatan input tidak wajar,” jelas ThreatFabric.

Teknik ini membuat aktivitas otomatis malware terlihat alami, sehingga lebih sulit dideteksi oleh software keamanan yang memantau pola interaksi tidak manusiawi.

🧠 Cara Serangan Berlangsung

Menurut laporan, Herodotus saat ini sedang disebarkan melalui serangan SMS phishing (smishing) yang menargetkan pengguna di Italia dan Brasil.
Pesan SMS berisi tautan ke aplikasi berbahaya (dropper) yang:

1. Menginstal payload utama,
2. Mencoba melewati batasan izin Accessibility pada Android 13 ke atas,
3. Menampilkan layar pemuatan palsu (fake loading screen) untuk menyembunyikan langkah pemberian izin di latar belakang.

Begitu izin Accessibility diberikan, malware dapat:

• Mengontrol tampilan antarmuka Android (tap, swipe, mengetik, dan navigasi),
• Menyalin data dari clipboard,
• Memasukkan teks seolah diketik langsung oleh pengguna.

🧩 Fitur Lengkap Herodotus

Selain fitur “humanizer”, ThreatFabric juga menemukan bahwa malware ini menyediakan berbagai fungsi untuk pelaku, termasuk:

• Panel kontrol web untuk mengatur pesan SMS palsu,
• Halaman overlay yang meniru aplikasi perbankan dan kripto,
• Lapisan transparan untuk menyembunyikan aktivitas penipuan dari korban,
• Pencuri SMS guna mengintersep kode autentikasi dua faktor (2FA),
• Kemampuan menangkap tampilan layar perangkat (screen capture).

🌐 Sudah Aktif di Dunia Nyata

ThreatFabric mendeteksi tujuh subdomain berbeda yang terkait dengan distribusi Herodotus, menandakan bahwa malware ini sudah digunakan oleh berbagai pelaku ancaman secara aktif di lapangan.

🛡️ Langkah Pencegahan

Untuk melindungi diri dari ancaman seperti Herodotus, pengguna Android disarankan untuk:

• Tidak mengunduh APK dari luar Google Play Store, kecuali benar-benar mempercayai penerbitnya.
• Mengaktifkan Google Play Protect agar deteksi otomatis berjalan.
• Memeriksa ulang izin aplikasi, terutama Accessibility, setelah menginstal aplikasi baru.
• Segera cabut izin mencurigakan jika aplikasi mulai berperilaku tidak wajar.

Kesimpulan:
Herodotus menunjukkan evolusi baru dalam dunia malware Android — dengan kemampuannya meniru perilaku manusia secara detail untuk melewati deteksi otomatis. Pendekatan ini menandai era baru ancaman siber di mana malware berperilaku semakin “hidup” dan sulit dibedakan dari pengguna asli.