Novo malware para Android imita digitação humana para evitar detecção e roubar dinheiro

Pesquisadores identificaram um novo malware bancário para Android, batizado de Herodotus, que adota uma estratégia inédita para escapar da detecção: ele imita o comportamento humano ao digitar informações nos aplicativos infectados. Desenvolvido por um hacker conhecido apenas como K1R0, o Herodotus é capaz de assumir o controle total do dispositivo da vítima, permitindo o roubo direto de dinheiro de contas bancárias e plataformas online.

De acordo com um relatório da empresa holandesa ThreatFabric, o desenvolvedor planeja comercializar o malware como um serviço em fóruns clandestinos. A pesquisa identificou campanhas ativas na Itália e no Brasil, onde o trojan se disfarça de aplicativos legítimos — na Itália, sob o nome Banca Sicura, e no Brasil, como Módulo Segurança Stone, aparentando ser um componente de segurança de um provedor de pagamentos local. Além disso, o malware foi configurado para exibir páginas falsas sobrepostas a aplicativos reais de bancos e corretoras de criptomoedas em países como Estados Unidos, Reino Unido, Turquia, e Polônia.

Segundo os pesquisadores, o Herodotus ainda está em fase de desenvolvimento ativo e deve evoluir para campanhas de maior escala no futuro. Seu método de disseminação segue o padrão de outros trojans bancários modernos: ele é distribuído via SMS malicioso, que convence o usuário a baixar um instalador infectado. Uma vez presente no dispositivo, o malware monitora a abertura de aplicativos financeiros e sobrepõe telas falsas que imitam com precisão a interface original para capturar credenciais e senhas.

Ele também intercepta mensagens SMS para roubar códigos de autenticação e utiliza os recursos de acessibilidade do Android para ler o conteúdo exibido na tela.

O que torna o Herodotus particularmente sofisticado é sua capacidade de “humanizar” o controle remoto do dispositivo. Em vez de preencher formulários de maneira instantânea — algo que denunciaria a automação —, o malware simula uma digitação manual, inserindo caracteres um a um, com pausas aleatórias entre 0,3 e 3 segundos, como se fosse uma pessoa digitando de verdade. Essa técnica reduz as chances de os sistemas antifraude detectarem o comportamento automatizado.

O relatório da ThreatFabric alerta que o crescimento de malwares móveis como o Herodotus representa uma ameaça crescente para bancos e provedores de pagamento. Embora mecanismos de detecção baseados no ritmo de digitação e interação ainda sejam úteis, os pesquisadores destacam que apenas soluções que combinem análise comportamental e monitoramento do ambiente do dispositivo serão eficazes para identificar ameaças tão avançadas quanto essa.

Via - RFN