Novo malware bancário ataca usuários Android

Um trojan bancário avançado chamado Herodotus tornou-se uma ameaça relevante para usuários Android em todo o mundo. Distribuído como Malware-as-a-Service, o aplicativo malicioso se disfarça como ferramenta legítima para enganar vítimas, induzindo-as a baixar e instalar um arquivo APK fora da Play Store oficial.

Permissões críticas e operações bancárias em nome do usuário

Após ser instalado, o Herodotus solicita e obtém permissões críticas do sistema, operando diretamente em contas bancárias comprometidas. O trojan permanece praticamente invisível para soluções tradicionais de antivírus, mesmo apresentando comportamento claramente malicioso.

Disseminação via campanhas de SMS phishing

A estratégia principal de propagação do malware envolve campanhas de phishing por SMS. Usuários recebem links que os levam a páginas de download fraudulentas, onde o APK é instalado e recebe permissões sensíveis, incluindo recursos de acessibilidade.

Táticas sofisticadas de evasão e “humanização” de ações

Analistas da Pradeo identificaram que o trojan utiliza sobreposições de tela para roubar credenciais bancárias e tomar sessões legítimas. Para driblar mecanismos antifraude, o Herodotus simula comportamentos humanos como atrasos programados, micro-movimentos e digitações realistas , tornando a detecção automatizada muito mais difícil.

O malware captura tanto o conteúdo da tela quanto dados de teclado, permitindo monitoramento de atividades e execução de transações enquanto o usuário permanece logado em seus aplicativos bancários.

Falhas dos antivírus e necessidade de proteção em múltiplas camadas

Durante testes, os especialistas verificaram que o Herodotus não dispara alertas nem mesmo nas bases de assinaturas dos principais antivírus. A abordagem tradicional de soluções de segurança, baseada em padrões conhecidos e assinaturas, falha porque o trojan utiliza SMS como vetor inicial, exige permissões inseguras e apenas executa ações maliciosas após aprovações explícitas pelo usuário.

Para defesa eficaz, é preciso analisar a ocorrência de múltiplos indicadores de comprometimento: SMS suspeitos, instalação por fontes desconhecidas, permissões críticas solicitadas e anomalias comportamentais como sobreposição de telas e interações simuladas. Esses sinais, isoladamente, podem parecer inocentes, mas combinados revelam uma campanha ativa que a proteção convencional não detecta.