MADRID, 29 Oct. (Portaltic/EP) -
Herodotus es el nombre de un nuevo 'malware' que toma el control del dispositivo de la víctima para robar credenciales bancarias, pero con la particularidad de que intenta imitar el comportamiento humano para evitar ser detectado.
Los investigadores de Threat Fabric han identificado una nueva familia de 'malware', que sus desarrolladores han llamado Herodotus, que cuenta con componentes del troyano bancario Brokewell sin llegar a ser una evolución de este.
Herodotus es, en líneas generales, un 'malware' que facilita a los ciberataques la toma de control del dispositivo móvil de la víctima, al que llega en una campaña de 'smishing', es decir, de un mensaje de texto fraudulento que simula proceder de una fuente conocida.
Este mensaje incluye un enlace, que descarga un 'dropper' personalizado en el móvil para instalr en él Herodotus. Para sobrepasar las restricciones, solicita permisos de Accesibilidad, lo que le da acceso completo el smartphone'.
Una vez instalado, los ciberatacantes pueden controlar el móvil de forma remota, con el objetivo de robar credenciales de aplicaciones bancarias. Sin embargo, lo que lo distingue de otros troyanos es que trata de imitar el comportamiento humano, como señalan desde la firma de seguridad en su blog oficial.
De manera remota, los cibercriminales pueden aplicar aplicaciones, navegar por ellas e introducir los datos para hacer transferencias bancarias. La información la guardan en el portapapeles, lo que evita tener que usar el teclado del dispositivo, ya que puede dar lugar a errores tipográficos.
Para evitar que la acción levante sospechas a la aplicación, "el texto especificado por el operador se divide en caracteres, y estos se establecen por separado con retardos aleatorios entre sí", explican desde Threat Fabric. En concreto, han establecido un retardo de 0,3 a 3 segundos para acercarlo al comportamiento humano.
Herodotus también oculta su actividad con superposiciones de la interfaz de la aplicación objetivo, para mostrar una pantalla falsa que solicita las credenciales de la cuenta y con otra que pone en espera al usuario mientras supuestamente se procesa su solicitud.
Herodotus se dirige a 'smartphones'con el sistema operativo de Google a partir de la versión Android 13, con campañas que Threat Fabric ha observado principalmente en Italia y Brasil.