Los investigadores de ciberseguridad han revelado detalles de un nuevo troyano bancario para Android llamado Heródoto que se ha observado en campañas activas dirigidas a Italia y Brasil para apoderarse de dispositivos ( PUNTO ) ataques.
«Herodotus está diseñado para apoderarse de los dispositivos y, al mismo tiempo, hacer los primeros intentos de imitar el comportamiento humano y eludir la detección biométrica del comportamiento», ThreatFabric dijo en un informe compartido con The Hacker News.
La empresa de seguridad holandesa dijo que el troyano se anunció por primera vez en foros clandestinos el 7 de septiembre de 2025, como parte del modelo de malware como servicio (MaaS), y promocionó su capacidad para ejecutarse en dispositivos con las versiones 9 a 16 de Android.
Se ha determinado que, si bien el malware no es una evolución directa de otro malware bancario conocido como Brokewell , ciertamente parece que se necesitaron algunas partes para crear la nueva cepa. Esto incluye similitudes en la técnica de ofuscación utilizada, así como menciones directas a Brokewell en Heródoto (por ejemplo, «BRKWL_JAVA»).
Herodotus también es el último de una larga lista de programas maliciosos para Android que abusan de los servicios de accesibilidad para alcanzar sus objetivos. Este programa malicioso, que se distribuye a través de aplicaciones que se hacen pasar por Google Chrome (nombre del paquete «com.cd3.app»), mediante suplantación de identidad por SMS u otras tácticas de ingeniería social, aprovecha la función de accesibilidad para interactuar con la pantalla, mostrar pantallas opacas superpuestas para ocultar actividades malintencionadas y robar credenciales mostrando pantallas de inicio de sesión falsas sobre aplicaciones financieras.
Además, también puede robar los códigos de autenticación de dos factores (2FA) enviados por SMS, interceptar todo lo que aparece en la pantalla, concederse permisos adicionales según sea necesario, obtener el PIN o patrón de la pantalla de bloqueo e instalar archivos APK remotos.
Sin embargo, lo que destaca del nuevo malware es en su capacidad para humanizar el fraude y evadir las detecciones basadas en el tiempo. En concreto, esto incluye la opción de introducir retrasos aleatorios al iniciar acciones remotas, como escribir texto en el dispositivo. Según ThreatFabric, se trata de un intento de los actores de la amenaza de hacer que parezca que la entrada la ha introducido un usuario real.
«El retraso especificado está en el rango de 300 a 3000 milisegundos (0,3 a 3 segundos)», explicó. «Esta distribución aleatoria del retraso entre los eventos de entrada de texto se alinea con la forma en que un usuario ingresaría el texto. Al retrasar conscientemente la entrada de texto en intervalos aleatorios, es probable que los actores traten de evitar ser detectados por soluciones antifraude basadas únicamente en el comportamiento, que detectan la velocidad de entrada de texto similar a la de una máquina».
ThreatFabric dijo que también obtuvo páginas superpuestas utilizadas por Heródoto dirigidas a organizaciones financieras de EE. UU., Turquía, el Reino Unido y Polonia, junto con carteras y bolsas de criptomonedas, lo que indica que los operadores están intentando ampliar activamente sus horizontes.
«Está en desarrollo activo, utiliza técnicas asociadas desde hace mucho tiempo con el troyano bancario Brokewell y parece diseñado específicamente para persistir en las sesiones en vivo, en lugar de simplemente robar credenciales estáticas y centrarse en la apropiación de cuentas», señaló la empresa.
Los hallazgos se producen cuando CYFIRMA detalló un malware avanzado para Android llamado GhostGrab que es capaz de recopilar sistemáticamente credenciales bancarias y, al mismo tiempo, minar encubiertamente la criptomoneda Monero en dispositivos infectados, lo que crea una «doble fuente de ingresos» para los actores de amenazas. La campaña parece estar dirigida a los usuarios de Android en la India.
La aplicación Dropper, que se hace pasar por una aplicación financiera, solicita la SOLICITAR_INSTALAR_PAQUETES permiso para facilitar la instalación de APK adicionales en la aplicación sin utilizar Google Play Store. La carga principal instalada en el dispositivo solicita un conjunto de permisos de alto riesgo para poder desviar llamadas, robar datos de SMS y publicar páginas WebView falsas que imitan un formulario KYC para recopilar información personal, incluidos los detalles de las tarjetas, el PIN de cuatro dígitos de los cajeros automáticos y un identificador oficial, como el número de Aadhaar.
«GhostGrab funciona como una amenaza híbrida, que combina operaciones encubiertas de minería de criptomonedas con capacidades integrales de exfiltración de datos», dijo la empresa dijo . «Está diseñado para recopilar sistemáticamente información financiera confidencial, incluidas las credenciales bancarias, los detalles de las tarjetas de débito y las contraseñas de un solo uso (OTP) mediante la interceptación de SMS».