MADRID, 29 Oct. (CIBERPRO) –
Herodotus es el nombre de un nuevo ‘malware’ que toma el control del dispositivo de la víctima con el fin de robar credenciales bancarias, destacándose por su intento de emular el comportamiento humano para evitar ser detectado.
Investigadores de Threat Fabric han descubierto una nueva familia de ‘malware’, conocida como Herodotus, que incluye elementos del troyano bancario Brokewell, aunque no es una versión mejorada de este.
En términos generales, Herodotus es un ‘malware’ que permite a los ciberataques controlar el dispositivo móvil de la víctima, llegando a través de una campaña de ‘smishing’, es decir, mediante un mensaje de texto fraudulento que aparenta proceder de una fuente legítima.
Este mensaje contiene un enlace que descarga un ‘dropper’ personalizado en el móvil, permitiendo la instalación de Herodotus. Para eludir las restricciones, solicita permisos de Accesibilidad, lo que le proporciona acceso total al smartphone.
Una vez instalado, los ciberatacantes pueden manejar el móvil de forma remota con el fin de robar credenciales de aplicaciones bancarias. La diferencia con otros troyanos es que intenta imitar el comportamiento humano, como mencionan desde la firma de seguridad en su blog oficial.
De manera remota, los cibercriminales pueden abrir aplicaciones, navegar por ellas e introducir datos para realizar transferencias bancarias. Utilizan el portapapeles para almacenar la información, evitando así el uso del teclado del dispositivo, que podría resultar en errores tipográficos.
Para que la acción no despierte sospechas en la aplicación, «el texto proporcionado por el operador se fragmenta en caracteres, y estos se envían por separado con retardos aleatorios entre ellos», explican desde Threat Fabric. En concreto, han implementado un retardo que oscila entre 0,3 y 3 segundos para simular un comportamiento humano.
Herodotus también oculta sus actividades utilizando superposiciones en la interfaz de la aplicación objetivo, presentando una pantalla falsa que solicita las credenciales de la cuenta y otra que mantiene al usuario en espera mientras supuestamente se procesa su solicitud.
Este ‘malware’ está diseñado para ‘smartphones’ que operan con el sistema de Google a partir de la versión Android 13, y Threat Fabric ha observado principalmente campañas en Italia y Brasil.
