Investigadores de ciberseguridad han revelado detalles de un nuevo troyano bancario para Android llamado heródoto Esto se ha observado en campañas activas dirigidas a Italia y Brasil para transigir a lengua ataques de adquisición de dispositivos (DTO).
“Herodotus está diseñado para tomar el control del dispositivo mientras hace los primeros intentos de imitar el comportamiento humano y evitar la detección biométrica del comportamiento”, dijo ThreatFabric en un referencia compartido con The Hacker News.
La compañía de seguridad holandesa dijo que el troyano se anunció por primera vez en foros clandestinos el 7 de septiembre de 2025, como parte del maniquí de malware como servicio (MaaS), promocionando su capacidad para ejecutarse en dispositivos con Android lectura 9 a 16.
Se evalúa que, si adecuadamente el malware no es una cambio directa de otro malware bancario conocido como Brokewell, ciertamente parece suceder tomado ciertas partes del mismo para crear la nueva cepa. Esto incluye similitudes en la técnica de ofuscación utilizada, así como menciones directas de Brokewell en Heródoto (por ejemplo, “BRKWL_JAVA”).
Herodotus igualmente es el final de una larga registro de malware para Android que abusa de los servicios de accesibilidad para ganar sus objetivos. Distribuido a través de aplicaciones de cuentagotas que se hacen sobrevenir por Google Chrome (nombre del paquete “com.cd3.app”) mediante phishing por SMS u otras tácticas de ingeniería social, el software taimado aprovecha la función de accesibilidad para interactuar con la pantalla, ofrece pantallas superpuestas opacas para ocultar actividad maliciosa y realiza robo de credenciales mostrando pantallas de inicio de sesión falsas encima de aplicaciones financieras.
Encima, igualmente puede robar códigos de autenticación de dos factores (2FA) enviados por SMS, interceptar todo lo que se muestra en la pantalla, otorgarse permisos adicionales según sea necesario, tomar el PIN o patrón de la pantalla de incomunicación e instalar archivos APK remotos.
Pero donde destaca el nuevo malware es en su capacidad para humanizar el fraude y eludir detecciones basadas en el tiempo. Específicamente, esto incluye una opción para introducir retrasos aleatorios al iniciar acciones remotas, como escribir texto en el dispositivo. Esto, dijo ThreatFabric, es un intento por parte de los actores de amenazas de hacer que parezca que la entrada la ingresa un heredero efectivo.
“El retraso especificado está en el rango de 300 a 3000 milisegundos (0,3 a 3 segundos)”, explicó. “Tal aleatorización del retraso entre eventos de entrada de texto se alinea con la forma en que un heredero ingresaría texto. Al retrasar conscientemente la entrada en intervalos aleatorios, los actores probablemente estén tratando de evitar ser detectados por soluciones antifraude que solo detectan el comportamiento y detectan una velocidad de entrada de texto similar a la de una máquina”.
ThreatFabric dijo que igualmente obtuvo páginas superpuestas utilizadas por Herodotus dirigidas a organizaciones financieras en los EE. UU., Turquía, el Reino Unido y Polonia, adyacente con billeteras e intercambios de criptomonedas, lo que indica que los operadores están intentando expandir activamente sus horizontes.
“Está bajo crecimiento activo, toma prestadas técnicas asociadas desde hace mucho tiempo con el troyano bancario Brokewell y parece diseñado específicamente para persistir internamente de sesiones en vivo en oficio de simplemente robar credenciales estáticas y centrarse en la apropiación de cuentas”, señaló la compañía.
Los hallazgos se producen cuando CYFIRMA detalló un malware progresista para Android llamado GhostGrab que es capaz de cosechar sistemáticamente credenciales bancarias mientras extrae de guisa estafa la criptomoneda Monero en dispositivos infectados, creando un “flujo de ingresos dual” para los actores de la amenaza. La campaña parece estar dirigida a usuarios de Android en la India.
La aplicación cuentagotas, que se hace sobrevenir por una aplicación financiera, solicita el permiso REQUEST_INSTALL_PACKAGES para entregar la instalación de APK adicionales en la aplicación sin utilizar Google Play Store. La carga útil principal instalada en el dispositivo solicita un conjunto de permisos de stop aventura para permitir el desvío de llamadas, robar datos de SMS y ofrecer páginas WebView falsas que imitan un formulario KYC para resumir información personal, incluidos detalles de tarjetas, PIN de cajero instintivo de cuatro dígitos e identificación estatal, como el número de Aadhaar.
“GhostGrab funciona como una amenaza híbrida, combinando operaciones encubiertas de minería de criptomonedas con capacidades integrales de exfiltración de datos”, dijo la compañía. “Está diseñado para resumir sistemáticamente información financiera confidencial, incluidas credenciales bancarias, detalles de tarjetas de débito y contraseñas de un solo uso (OTP) mediante la interceptación de SMS”.
