Un nuevo y peligroso troyano está acechando al sistema operativo Android, se trata del virus bancario Herodotus, identificado por investigadores de la firma de ciberseguridad ThreatFabric.
Este troyano, lleva el engaño un paso más allá al imitar el comportamiento humano durante las sesiones de control remoto para evitar la detección. El malware puede interceptar mensajes SMS para capturar códigos 2FA, implementar páginas superpuestas para robar credenciales de inicio de sesión y abusar de los servicios de accesibilidad para registrar la actividad en pantalla. Los atacantes pueden usar este acceso para navegar por aplicaciones bancarias e iniciar transacciones fraudulentas.
Herodotus, emplea tácticas comunes de troyanos bancarios, como pantallas de inicio de sesión falsas, interceptación de SMS y permisos de accesibilidad abusivos, pero introduce un nuevo giro al intentar imitar las acciones genuinas de los usuarios para pasar desapercibido.
Según ThreatFabric (a través de The Record), los operadores del malware usan retrasos de 0.3 a 3 segundos entre pulsaciones de teclas individuales e imitan deslizamientos o toques, lo que hace que la sesión automatizada parezca más una interacción humana y menos un bot.
Una vez que el malware se afianza a través de un cuentagotas de carga lateral o un enlace SMiShing, pide a las víctimas que habiliten los servicios de accesibilidad, luego ejecuta una superposición para ocultar sus actividades mientras lleva a cabo la recolección de credenciales o las transferencias de dinero. El malware incluso informa las aplicaciones instaladas a un servidor de comando y control, por lo que los atacantes saben exactamente cuándo un objetivo abre una aplicación bancaria o de billetera y luego pueden activar la interfaz falsa.
Lo que diferencia a Herodotus de la mayoría de los troyanos de Android es esta capa de comportamiento de entrada de estilo humano sobre la toma de control del dispositivo. Mientras que los troyanos más antiguos a menudo pegaban texto o hacían clic en elementos a la velocidad de la máquina, lo que los hacía más fáciles de marcar, Herodotus introduce retrasos aleatorios entre entradas, lo que hace que los sistemas de biometría del comportamiento sean menos propensos a detectarlo.
