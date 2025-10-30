Dagens PS
Din mobil smittad av "mänsklig" kod – värsta hotet hittills

De blir listigare och listigare. Nu efterliknar de användarbeteenden. (Foto: Canva)
De blir listigare och listigare. Nu efterliknar de användarbeteenden. (Foto: Canva)
Åsa Wallenrud
Åsa Wallenrud
Uppdaterad: 30 okt. 2025Publicerad: 30 okt. 2025

En ny smitta på mobilen agerar listigt. Hackarnas geniala knep efterliknar en människa – och gör det omöjligt att stoppa.

Ny skadlig programvara för android lurar säkerhetssystemen genom att efterlikna hur en människa skriver på mobilen, vilket gör att den undgår att bli upptäckt i realtid.

Forskare varnar nu användare i flera länder och uppmanar till försiktighet med nya appar och inställningar.

Den unika metoden gör att Herodotus-smittan kan sprida sig obehindrat, skriver TechRadar.

Ny malware sprider sig med smart knep

Mobil antivirusprogram har länge förlitat sig på så kallade tidsbaserade detektioner för att avslöja skadlig aktivitet. När malware försöker bevilja sig själv android-behörigheter eller ladda ner appar, sker det oftast på ett automatiserat, robotaktigt sätt.

Människor, å andra sidan, har ojämna intervaller och pauser, vilket skiljer sig från maskinell aktivitet.

Säkerhetsprogrammen har kunnat identifiera dessa onormala beteendemönster för att upptäcka potentiell malware.

Detta gäller dock inte för den nya smittan som kallas Herodotus.

Säkerhetsforskare vid Threat Fabric har upptäckt den helt nya android-malwaren, döpt efter den berömde grekiske historikern.

Den innehåller en mekanism som man kallar “humanizer” för textinmatning, skriver Threat Fabric i en rapport.

Efterliknar användarbeteenden

Mekanismen skapar slumpmässiga fördröjningar i aktiviteten, från 0,3 till 3 sekunder, liknande hur en verklig människa skulle skriva.

“En sådan randomisering av fördröjning mellan textinmatningshändelser överensstämmer med hur en användare skulle mata in text”, förklarar Threat Fabric.

Genom att medvetet fördröja inmatningen med slumpmässiga intervall försöker aktörerna troligtvis undvika att upptäckas av beteendebaserade lösningar för bedrägeribekämpning som upptäcker maskinliknande hastighet vid textinmatning.

Herodotus erbjuds just nu till cyberbrottslingar som en “malware-som-en-tjänst” (MaaS) och är, trots att den fortfarande är under utveckling, redan i aktiv användning.

Så går attacken till

Attackerna har startat genom SMS-nätfiske, så kallad “smishing”, mot android-användare i Italien och Brasilien, där de smittade offren får en länk till en anpassad nedladdare.

Nedladdaren installerar den primära skadliga nyttolasten och försöker kringgå begränsningarna för behörigheten “Tillgänglighet” i android 13 och senare versioner.

Om den lyckas, visar den offret en falsk laddningsskärm medan den installerar malwaren i bakgrunden.

Med åtkomst till dessa känsliga behörigheter kan Herodotus sedan interagera med android-användargränssnittet, genom att till exempel trycka på specifika skärmkoordinater, svepa, gå tillbaka och mata in text.

Förutom den unika “humanizer”-funktionen erbjuder Herodotus även funktioner som en kontrollpanel med alternativ för anpassad SMS-text, överläggssidor som efterliknar bank- och kryptoappar för att stjäla inloggningsuppgifter, SMS-stöld för att fånga upp tvåfaktorsautentiseringskoder, och möjligheten att ta skärminnehåll.

Säkerhetsforskarnas råd

Forskarna uppmanar android-användare att endast ladda ner appar från betrodda källor som Google Play. Dessutom uppmanas användarna att aktivera Play Protect och återkalla riskabla behörigheter, som “Tillgänglighet”, för nyligen installerade appar.

AndroidCyberangreppCyberattack
Åsa Wallenrud
