El malware Herodotus, un sofisticado troyano bancario para Android, ha emergido en el ámbito de las amenazas móviles, presentando innovadoras técnicas para evadir sistemas de detección biométrica. Durante un monitoreo rutinario de canales de distribución maliciosos, el servicio Mobile Threat Intelligence descubrió nuevas muestras de malware que se distribuyeron junto a variantes conocidas como Hook y Octo, mostrando vínculos más cercanos con Brokewell, una familia de malware previamente identificada.
Características distintivas y mecanismo de infección
Herodotus combina elementos de Brokewell con código nuevo para una evasión más sofisticada y se ha rastreado actividades activas enfocadas en usuarios de Italia y Brasil, dónde se ofrece como un producto de Malware-as-a-Service por el actor malicioso K1R0 en foros clandestinos. El malware se introduce mediante una carga lateral, utilizando campañas de smishing que conducen a enlaces de descarga maliciosos. Tras la instalación, un dropper personalizado evade las restricciones de Android 13+, lanzando automáticamente su carga útil y ocultando la concesión de permisos peligrosos en pantallas de carga engañosas.
Recopilación de Información y Humanización de las Transacciones Fraudulentas
Una vez instalado, Herodotus recopila listas de aplicaciones en el dispositivo y envía esta información a un servidor de comando y control, utilizando pantallas falsas para recoger credenciales de aplicaciones bancarias legítimas e interceptando SMS para obtener códigos de autenticación. Lo que distingue a Herodotus es su técnica de automatización para la introducción de texto: en lugar de enviar cadenas completas, divide cada carácter y lo introduce a intervalos aleatorios, replicando la escritura humana para evadir la detección por sistemas antifraude basados en el comportamiento.
Recomendaciones para usuarios y profesionales
El malware Herodotus destaca la necesidad de que los sistemas de detección biométrica se adapten a nuevas tácticas, enfatizando la importancia de una vigilancia continua ante amenazas emergentes. Se recomienda a los usuarios y profesionales de seguridad:
- Educación del usuario: Informar a los usuarios sobre las técnicas de smishing y la importancia de no descargar aplicaciones de fuentes no confiables.
- Actualización constante de dispositivos: Mantener el sistema operativo y las aplicaciones actualizados para protegerse contra las vulnerabilidades.
- Monitoreo de actividades sospechosas: Los usuarios deben estar atentos a comportamientos inusuales en sus cuentas bancarias y aplicaciones.
Futuras Implicaciones
La evolución de malware como Herodotus resalta la creciente complejidad en el ámbito de la ciberseguridad, lo que exige una respuesta proactiva y adaptable de los usuarios y profesionales de la seguridad.
Fuente: https://cybersecuritynews.com/
