Resumo
- O trojan Herodotus finge ser um módulo de segurança bancário no Brasil, tomando controle de celulares Android e roubando dados.
- Ele usa atrasos aleatórios na digitação para imitar humanos, escapando de detecção por antivírus e sistemas de segurança.
- Herodotus é distribuído via phishing e engenharia social, criando telas falsas de login e interceptando dados sensíveis.
Pesquisadores de cibersegurança identificaram um novo trojan bancário chamado Herodotus. Ele funciona no Android e tem uma peculiaridade: executa comandos de digitação de maneira pausada, para imitar o comportamento humano e driblar mecanismos de segurança.
Segundo a empresa de cibersegurança ThreatFabric, o Herodotus foi visto em campanhas ativas no Brasil e na Itália. Ele tem a capacidade de tomar o controle total do dispositivo, instalando outros apps e roubando informações como senhas de bancos e códigos de autenticação.
O que é o Herodotus?
O Herodotus é um malware do tipo trojan (cavalo de Troia). Ele é distribuído por meio de phishing via SMS e técnicas de engenharia social, que induzem a vítima a baixar voluntariamente o app mal-intencionado. No Brasil, ele leva o alvo a crer que se trata de um app chamado “Módulo Segurança Stone”.
O malware chega ao celular disfarçado como um pacote do Google Chrome. Depois de instalado, ele usa recursos de acessibilidade do Android para tomar o controle do dispositivo.
Como explica a ThreatFabric, o Herodotus é capaz de criar telas falsas de login em apps financeiros, roubando logins e senhas do usuário. Ele também consegue exibir telas opacas para ocultar atividades maliciosas.
E não para por aí: o malware consegue interceptar tudo o que está na tela, o que permite que ele tenha acesso a códigos de autenticação em dois fatores e senhas de bloqueio, por exemplo. Ele também é capaz de alterar permissões do sistema para conseguir ainda mais poder sobre o dispositivo, como instalar outros apps remotamente.
Como o Herodotus dribla a segurança?
Um dos aspectos mais curiosos do Herodotus é a capacidade de escapar da vigilância do Android e dos antivírus. Para tanto, ele se comporta de modo diferente do esperado para um malware.
Uma dessas táticas é incluir atrasos aleatórios entre ações, como durante a entrada de texto. Entre um caractere e outro, há uma demora que pode variar entre 0,3 e 3 segundos.
Se o Herodotus colocasse todo o texto de uma vez, em uma velocidade alta, ferramentas de detecção de fraudes poderiam detectar com mais facilidade que se trata de um malware executando as ações. Com os atrasos, fica parecendo que um humano está digitando.
Como se proteger?
Alguns comportamentos simples podem evitar que você se torne uma vítima de golpes desse tipo:
- Desconfie de mensagens de remetentes desconhecidos.
- Desconfie de mensagens que criam um senso de urgência, como supostas compras de alto valor, empréstimos, pedidos de ajuda e ofertas muito vantajosas.
- Não clique em links desconhecidos.
- Não permita a instalação de apps de fontes desconhecidas no Android.
- Desconfie de aplicativos da Google Play Store — apesar de se tratar de um ambiente controlado, apps maliciosos ou falsos podem escapar dos mecanismos de segurança da loja.
Com informações do Hacker News e do Register
Malware que finge digitar como humano é usado em ataques no Brasil
