Cercetători în securitate au semnalat apariția unei noi familii de troieni Android, denumită „Herodotus”, folosită în campanii active în special în Italia și Brazilia.
Malware-ul, disponibil pe bază de malware-as-a-service (MaaS), vizează preluarea completă a dispozitivelor (device takeover) și folosește tehnici moderne menite să evite detectarea bazată pe biometria comportamentală.
Potrivit analizelor, Herodotus este distribuit prin aplicații „dropper” care se deghizează în aplicații legitime, un exemplu raportat fiind un pachet ce imită Google Chrome („com.cd3.app”) și este răspândit prin mesaje SMS de tip phishing sau prin alte mijloace de inginerie socială.
Odată instalat, troianul solicită permisiuni periculoase, abuzează serviciilor de accesibilitate Android și poate instala aplicații suplimentare fără trecerea prin Google Play.
Cum „se comportă” ca un utilizator real
Ceea ce diferențiază Herodotus de multe alte familii de malware este funcția de „umanizare” a interacțiunilor: operatorii pot activa întârzieri aleatoare între caracterele tastate de malware, între aproximativ 300 și 3.000 de milisecunde, pentru a reproduce ritmul omului și a ocoli detecțiile bazate pe viteza de introducere a textului sau pe alte amprente comportamentale.
Abordarea este menită să păcălească soluțiile antifraudă care se bazează exclusiv pe modele temporale ale inputului.
Troianul poate afișa suprapuneri (overlay) în ecran pentru a fura credențiale (WebView phishing), interceptează mesajele SMS cu coduri 2FA, captează tot ce apare pe ecran, poate extrage codul PIN sau modelul de deblocare și chiar acorda permisiuni adiționale pentru a asigura controlul total al dispozitivului.
Analizele arată că autorii au împrumutat tehnici și blocuri de cod folosite anterior în familia Brokewell, dar au combinat și elemente noi pentru persistență în sesiuni active și preluare în timp real a conturilor bancare vizate.
Răspândire geografică, model economic și amenințări conexe
Raportările indică activitate inițială în Italia și Brazilia, dar pagini de atac și pagini de suprapunere au fost documentate pentru țări precum SUA, Marea Britanie, Polonia și Turcia, sugerând o intenție de extindere rapidă a ariilor vizate. Herodotus a fost promovat pe forumuri subversive începând cu 7 septembrie 2025, conform cercetătorilor.
În paralel, experții atrag atenția asupra unor familii malware în curs de dezvoltare care creează „fluxuri multiple” de profit, de exemplu GhostGrab, care combină furtul de credențiale cu mineritul criptomonedelor pe dispozitive compromise.
Impactul direct asupra instituțiilor financiare și al sistemelor anti-fraudă este clar: controalele care se bazează prea mult pe biometria de comportament sau pe modele temporale pot fi înșelate.
Atacatorii urmăresc nu doar furtul de date, ci menținerea unei prezențe active în sesiuni pentru a autoriza tranzacții, modifica setări sau eluda detectarea pe termen lung.
Ce pot face utilizatorii și organizațiile acum
Măsuri practice pentru utilizatori includ: nu instala aplicații primite prin linkuri din SMS sau surse neoficiale; verifica permisiunile cerute de aplicații, în special accesibilitate și instalare pachete; folosi autentificarea în doi factori bazată pe aplicații (TOTP) sau chei hardware în locul OTP prin SMS; menține sistemul de operare și aplicațiile actualizate; activa Google Play Protect; evita rootarea/dispozitivele compromise.
Organizațiile financiare ar trebui să reevalueze dependența exclusivă de biometria comportamentală și să adopte controale în straturi: analize de mediu al dispozitivului, verificări de integritate ale aplicației, detecție a suprapunerilor WebView, limitări de sesiune și alertare proactivă atunci când comportamentul pare delegat unui control la distanță.