Investigadores de ciberseguridad han revelado detalles de un nuevo troyano bancario para Android llamado Herodotus que se ha observado en campañas activas dirigidas a Italia y Brasil que llevan a cabo ataques de adquisición de dispositivos (DTO).
«Herodotus está diseñado para tomar el control del dispositivo mientras imita el comportamiento humano y realiza intentos iniciales para evadir la detección biométrica de acciones», dijo ThreatFabric en un informe compartido con The Hacker News.
Según la firma de seguridad holandesa, el troyano se anunció por primera vez en foros clandestinos el 7 de septiembre de 2025 como parte de un modelo de malware como servicio (MaaS), promocionando su capacidad para ejecutarse en dispositivos con las versiones de Android 9 a 16.
Se ha evaluado que este malware no es una evolución directa de otro malware bancario conocido como Brokewell, sino que parece haber incorporado partes del mismo para crear una nueva variante. Esto incluye similitudes en las técnicas de ofuscación utilizadas, así como referencias directas a Brokewell en Heródoto (como «BRKWL_JAVA»).
Herodotus es también el último de una larga lista de malware para Android que explota los servicios de accesibilidad para lograr sus objetivos. Distribuido a través de una aplicación cuentagotas (nombre de paquete com.cd3.app) disfrazada de Google Chrome mediante phishing por SMS y otras tácticas de ingeniería social, el programa malicioso aprovecha las funciones de accesibilidad para manipular la pantalla, proporciona pantallas superpuestas opacas para ocultar actividad maliciosa y realiza robo de credenciales mostrando pantallas de inicio de sesión falsas encima de aplicaciones financieras.
Además, puede robar códigos de autenticación de dos factores (2FA) enviados por SMS, interceptar todo lo que ve en su pantalla, otorgarse permisos adicionales si es necesario, obtener el PIN o patrón de su pantalla de bloqueo e incluso instalar archivos APK remotos.
Pero lo que distingue a este nuevo malware es su capacidad para humanizar su engaño y evadir la detección basada en el tiempo. En concreto, esto incluye una opción para introducir un retraso aleatorio al iniciar una acción remota, como introducir texto en el dispositivo. Según ThreatFabric, este es un intento de los actores de amenazas de hacer que la entrada parezca como si la hubiera ingresado un usuario real.
«El retraso especificado oscila entre 300 y 3000 milisegundos (0,3 a 3 segundos)». «Tal aleatorización de los retrasos entre eventos de entrada de texto es consistente con la forma en que los usuarios ingresan texto. Al retrasar conscientemente la entrada en intervalos aleatorios, los atacantes pueden estar intentando evitar la detección mediante soluciones antifraude de comportamiento que descubren velocidades de entrada de texto similares a las de las máquinas».
ThreatFabric dijo que también obtuvo una página superpuesta utilizada por Herodotus dirigida a instituciones financieras en EE. UU., Turquía, Reino Unido y Polonia, así como a billeteras e intercambios de criptomonedas, lo que indica que el operador está buscando activamente expandir sus horizontes.
«Está en desarrollo activo, toma prestada tecnología asociada desde hace mucho tiempo con el troyano bancario Brokewell y parece estar diseñado para persistir en sesiones en vivo, en lugar de simplemente robar credenciales estáticas y centrarse en la apropiación de cuentas», dijo la compañía.
Source link
