Investigadores de ciberseguridad han revelado detalles de un nuevo troyano bancario para Android llamado heródoto Esto se ha observado en campañas activas dirigidas a Italia y Brasil para transigir a lugar ataques de adquisición de dispositivos (DTO).
«Herodotus está diseñado para tomar el control del dispositivo mientras hace los primeros intentos de imitar el comportamiento humano y evitar la detección biométrica del comportamiento», dijo ThreatFabric en un referencia compartido con The Hacker News.
La compañía de seguridad holandesa dijo que el troyano se anunció por primera vez en foros clandestinos el 7 de septiembre de 2025, como parte del maniquí de malware como servicio (MaaS), promocionando su capacidad para ejecutarse en dispositivos con Android traducción 9 a 16.
Se evalúa que, si proporcionadamente el malware no es una crecimiento directa de otro malware bancario conocido como Brokewell, ciertamente parece sobrevenir tomado ciertas partes del mismo para crear la nueva cepa. Esto incluye similitudes en la técnica de ofuscación utilizada, así como menciones directas de Brokewell en Heródoto (por ejemplo, «BRKWL_JAVA»).
Herodotus además es el zaguero de una larga tira de malware para Android que abusa de los servicios de accesibilidad para ganar sus objetivos. Distribuido a través de aplicaciones de cuentagotas que se hacen acaecer por Google Chrome (nombre del paquete «com.cd3.app») mediante phishing por SMS u otras tácticas de ingeniería social, el software receloso aprovecha la función de accesibilidad para interactuar con la pantalla, ofrece pantallas superpuestas opacas para ocultar actividad maliciosa y realiza robo de credenciales mostrando pantallas de inicio de sesión falsas encima de aplicaciones financieras.
Adicionalmente, además puede robar códigos de autenticación de dos factores (2FA) enviados por SMS, interceptar todo lo que se muestra en la pantalla, otorgarse permisos adicionales según sea necesario, tomar el PIN o patrón de la pantalla de soledad e instalar archivos APK remotos.
Pero donde destaca el nuevo malware es en su capacidad para humanizar el fraude y escamotear detecciones basadas en el tiempo. Específicamente, esto incluye una opción para introducir retrasos aleatorios al iniciar acciones remotas, como escribir texto en el dispositivo. Esto, dijo ThreatFabric, es un intento por parte de los actores de amenazas de hacer que parezca que la entrada la ingresa un favorecido efectivo.
«El retraso especificado está en el rango de 300 a 3000 milisegundos (0,3 a 3 segundos)», explicó. «Tal aleatorización del retraso entre eventos de entrada de texto se alinea con la forma en que un favorecido ingresaría texto. Al retrasar conscientemente la entrada en intervalos aleatorios, los actores probablemente estén tratando de evitar ser detectados por soluciones antifraude que solo detectan el comportamiento y detectan una velocidad de entrada de texto similar a la de una máquina».
ThreatFabric dijo que además obtuvo páginas superpuestas utilizadas por Herodotus dirigidas a organizaciones financieras en los EE. UU., Turquía, el Reino Unido y Polonia, próximo con billeteras e intercambios de criptomonedas, lo que indica que los operadores están intentando expandir activamente sus horizontes.
«Está bajo incremento activo, toma prestadas técnicas asociadas desde hace mucho tiempo con el troyano bancario Brokewell y parece diseñado específicamente para persistir internamente de sesiones en vivo en oportunidad de simplemente robar credenciales estáticas y centrarse en la apropiación de cuentas», señaló la compañía.
