Los investigadores de ciberseguridad han revelado detalles de un nuevo troyano bancario para Android llamado Herodotus que se ha observado en campañas activas dirigidas a Italia y Brasil para realizar ataques de toma de control de dispositivos (DTO).
«Herodotus está diseñado para realizar la toma de control del dispositivo mientras hace los primeros intentos de imitar el comportamiento humano y eludir la detección biométrica del comportamiento», dijo ThreatFabric en un informe compartido con The Hacker News.
La compañía de seguridad holandesa dijo que el troyano se anunció por primera vez en foros clandestinos el 7 de septiembre de 2025, como parte del modelo de malware como servicio (MaaS), promocionando su capacidad para ejecutarse en dispositivos con Android versión 9 a 16.
Se evalúa que, si bien el malware no es una evolución directa de otro malware bancario conocido como Brokewell, ciertamente parece haber tomado ciertas partes para armar la nueva cepa. Esto incluye similitudes en la técnica de ofuscación utilizada, así como menciones directas de Brokewell en Heródoto (por ejemplo, «BRKWL_JAVA»).
Herodotus también es el último de una larga lista de malware de Android para abusar de los servicios de accesibilidad para lograr sus objetivos. Distribuido a través de aplicaciones dropper que se hacen pasar por Google Chrome (nombre del paquete «com.cd3.app») a través de phishing por SMS u otras tácticas de ingeniería social, el programa malicioso aprovecha la función de accesibilidad para interactuar con la pantalla, servir pantallas superpuestas opacas para ocultar la actividad maliciosa y realizar el robo de credenciales al mostrar pantallas de inicio de sesión falsas en la parte superior de las aplicaciones financieras.
Además, también puede robar códigos de autenticación de dos factores (2FA) enviados por SMS, interceptar todo lo que se muestra en la pantalla, otorgarse permisos adicionales según sea necesario, obtener el PIN o patrón de la pantalla de bloqueo e instalar archivos APK remotos.
Pero donde el nuevo malware se destaca es en su capacidad para humanizar el fraude y evadir las detecciones basadas en el tiempo. Específicamente, esto incluye una opción para introducir retrasos aleatorios al iniciar acciones remotas, como escribir texto en el dispositivo. Esto, dijo ThreatFabric, es un intento de los actores de amenazas de hacer que parezca que la entrada está siendo ingresada por un usuario real.
«El retraso especificado está en el rango de 300 a 3000 milisegundos (0,3 a 3 segundos)», explicó. «Tal aleatorización del retraso entre los eventos de entrada de texto se alinea con la forma en que un usuario ingresaría texto. Al retrasar conscientemente la entrada a intervalos aleatorios, es probable que los actores intenten evitar ser detectados por soluciones antifraude de solo comportamiento que detectan la velocidad de entrada de texto similar a la de una máquina».
ThreatFabric dijo que también obtuvo páginas superpuestas utilizadas por Herodotus dirigidas a organizaciones financieras en los EE. UU., Turquía, el Reino Unido y Polonia, junto con billeteras e intercambios de criptomonedas, lo que indica que los operadores están intentando expandir activamente sus horizontes.
«Está en desarrollo activo, toma prestadas técnicas asociadas durante mucho tiempo con el troyano bancario Brokewell y parece diseñado específicamente para persistir dentro de sesiones en vivo en lugar de simplemente robar credenciales estáticas y centrarse en la adquisición de cuentas», señaló la compañía.
Fuente: The Hacker News
