Investigadores de ciberseguridad han revelado detalles de un nuevo troyano bancario para Android llamado Herodotus que se ha observado en campañas activas dirigidas a Italia y Brasil para realizar ataques de toma de control de dispositivos ( DTO ).
"Herodotus está diseñado para tomar el control de dispositivos mientras realiza los primeros intentos de imitar el comportamiento humano y evitar la detección biométrica del comportamiento", dijo ThreatFabric en un informe compartido con The Hacker News.
La compañía de seguridad holandesa dijo que el troyano se anunció por primera vez en foros clandestinos el 7 de septiembre de 2025, como parte del modelo de malware como servicio (MaaS), promocionando su capacidad para ejecutarse en dispositivos con la versión 9 a 16 de Android.
Se considera que, si bien el malware no es una evolución directa de otro malware bancario conocido como Brokewell , ciertamente parece haber tomado ciertas partes de este para formar la nueva cepa. Esto incluye similitudes en la técnica de ofuscación empleada, así como menciones directas de Brokewell en Heródoto (p. ej., "BRKWL_JAVA").
Herodotus es también el último de una larga lista de malware para Android que abusa de los servicios de accesibilidad para lograr sus objetivos. Distribuido mediante aplicaciones de descarga que se hacen pasar por Google Chrome (nombre del paquete "com.cd3.app") mediante phishing por SMS u otras estrategias de ingeniería social, este programa malicioso aprovecha la función de accesibilidad para interactuar con la pantalla, mostrar pantallas superpuestas opacas para ocultar actividad maliciosa y robar credenciales mostrando pantallas de inicio de sesión falsas sobre aplicaciones financieras.
Además, también puede robar códigos de autenticación de dos factores (2FA) enviados por SMS, interceptar todo lo que se muestra en la pantalla, otorgarse permisos adicionales según sea necesario, obtener el PIN o patrón de la pantalla de bloqueo e instalar archivos APK remotos.
Pero donde el nuevo malware destaca es en su capacidad de humanizar el fraude y evadir las detecciones basadas en el tiempo. En concreto, esto incluye una opción para introducir retrasos aleatorios al iniciar acciones remotas, como escribir texto en el dispositivo. Esto, según ThreatFabric, es un intento de los actores de amenazas de simular que la entrada la realiza un usuario real.
"El retraso especificado oscila entre 300 y 3000 milisegundos (0,3-3 segundos)", explicó. "Esta aleatorización del retraso entre eventos de entrada de texto se ajusta a la forma en que un usuario introduciría texto. Al retrasar deliberadamente la entrada a intervalos aleatorios, es probable que los actores intenten evitar ser detectados por soluciones antifraude basadas únicamente en el comportamiento que detectan una velocidad de entrada de texto similar a la de una máquina".
ThreatFabric afirmó que también obtuvo páginas superpuestas utilizadas por Herodotus dirigidas a organizaciones financieras en EE. UU., Turquía, el Reino Unido y Polonia, junto con billeteras e intercambios de criptomonedas, lo que indica que los operadores están intentando expandir activamente sus horizontes.
"Está en desarrollo activo, toma prestadas técnicas asociadas desde hace tiempo con el troyano bancario Brokewell y parece diseñado específicamente para persistir dentro de sesiones en vivo en lugar de simplemente robar credenciales estáticas y centrarse en el robo de cuentas", señaló la compañía.
Fuente: TheHackerNews.