Investigadores descubrieron un sofisticado troyano bancario para Android que utiliza retrasos aleatorios en su escritura para parecerse a un usuario real y así evitar los sistemas de detección automática. Herodotus ya está activo en campañas en Italia y Brasil, y se ofrece como un servicio para ciberdelincuentes.
Un nuevo malware para Android, bautizado como Herodotus, fue descubierto por investigadores de la firma de ciberseguridad Threat Fabric, quienes destacaron su capacidad para imitar la conducta humano al interactuar con los dispositivos infectados, así como atributos para evadir sistemas de detección basados en comportamiento, una técnica que lo convierte en una amenaza particularmente avanzada.
Desarrollado por un hacker conocido como K1R0, Herodotus se distribuye bajo un modelo de malware-as-a-service (MaaS), lo que permite a otros actores de amenazas pagar por su uso. Aunque todavía se encuentra en desarrollo, ya ha sido utilizado en campañas activas en Italia y Brasil, donde se propaga a través de mensajes SMS de tipo smishing que engañan a los usuarios para descargar aplicaciones falsas.
Entre las apps falsas detectadas se encuentran “Banca Sicura” en Italia y “Modulo Seguranca Stone” en Brasil, que simulan pertenecer a bancos o servicios de pago locales. Una vez instalada, la aplicación maliciosa pide al usuario habilitar los permisos de accesibilidad y muestra una pantalla de carga falsa para ocultar el proceso, logrando así un control total del dispositivo.
Con los permisos activados, el malware puede realizar acciones como escribir, deslizar, leer la pantalla, interceptar mensajes SMS -incluidos los códigos de autenticación de dos factores- y desplegar superposiciones falsas (overlays) que imitan interfaces bancarias y de criptomonedas. Estas pantallas falsas permiten robar credenciales y datos financieros sin que la víctima lo note.
Lo que diferencia a Herodotus de otros troyanos bancarios es su capacidad para simular escritura humana. En lugar de pegar automáticamente los datos robados en formularios -una acción que suele ser detectada por los sistemas antifraude-, el malware escribe carácter por carácter con pausas aleatorias de entre 0,3 y 3 segundos. Esta técnica, que Threat Fabric denomina un “humanizer”, busca hacer que las acciones automatizadas parezcan naturales.
“La aleatorización de los intervalos entre las pulsaciones de texto se asemeja al modo en que un usuario real escribiría”, explicaron los investigadores. “Al introducir estos retrasos, los operadores intentan evitar la detección por soluciones antifraude que identifican la velocidad mecánica de las entradas de texto.”
El malware utiliza además el protocolo MQTT (Message Queuing Telemetry Transport o Transporte de Telemetría de Mensajes en Cola) para comunicarse con su servidor de comando y control, alojado en el dominio google-firebase.digital, que cuenta con al menos siete subdominios activos. Esto sugiere la existencia de múltiples operadores y campañas regionales.
Threat Fabric también detectó superposiciones dirigidas a usuarios en Estados Unidos, Reino Unido, Turquía y Polonia, lo que indica una expansión más allá de América Latina. Los investigadores encontraron además similitudes en el código con otro troyano, Brokewell, lo que sugiere una posible reutilización o adaptación del material fuente.
“El hallazgo de Herodotus muestra la evolución del fraude móvil hacia formas más sofisticadas, donde la automatización se combina con la simulación humana”, concluyeron los especialistas, agregando que el modelo de negocio como servicio “acelerará su adopción por parte de ciberdelincuentes.”