Um novo trojan bancário batizado de Herodotus está sendo distribuído como Malware-as-a-Service e já representa risco global para quem usa smartphones Android. De acordo com analistas da Pradeo, o código malicioso se apresenta como aplicativo legítimo, convence a vítima a baixar um arquivo APK fora da Google Play Store e assume controle da conta bancária após obter permissões críticas do sistema.
Como o golpe acontece
A principal estratégia de disseminação envolve campanhas de phishing via SMS. A mensagem encaminha o usuário a uma página de download falsa, onde o APK do Herodotus é instalado. Na sequência, o app solicita recursos sensíveis, inclusive de acessibilidade, fundamentais para executar suas funções clandestinas.
Métodos para escapar da detecção
O Herodotus continua praticamente invisível às soluções tradicionais de antivírus: não aciona alertas, não aparece em bases de assinaturas e só desencadeia ações maliciosas depois que o próprio usuário concede as permissões. Para burlar mecanismos antifraude, o trojan simula comportamento humano — introduz atrasos programados, realiza micro-movimentos e digita de forma realista —, dificultando a identificação por sistemas automatizados.
Roubo de credenciais e movimentação de contas
O código utiliza sobreposições de tela para capturar credenciais bancárias, grava o conteúdo exibido e monitora dados de teclado. Com a sessão do aplicativo bancário aberta, o malware consegue observar atividades e executar transações em nome da vítima sem levantar suspeitas.
Indicadores de comprometimento
Especialistas recomendam atenção a uma combinação de sinais: SMS suspeitos, instalação de apps por fontes desconhecidas, pedidos de permissões extensas, sobreposição de telas e ações aparentes de “usuário fantasma”. Cada indício, isoladamente, pode parecer inofensivo, mas o conjunto revela uma campanha ativa que passa despercebida por proteções convencionais.
Imagem: Internet
Não há, por enquanto, correções automáticas capazes de bloquear o Herodotus; a orientação é evitar downloads externos, revisar permissões concedidas e suspeitar de mensagens que incentivem a instalação de aplicativos fora da loja oficial.
Com informações de CISO Advisor