Trojan engana controles de segurança e rouba dados

Postado por Gerson Raymond em nov 4, 2025 em BÁSICO, DIVERSOS, EXPLORANDO, NOTÍCIAS |

Comentários desativados

Trojan engana controles de segurança e rouba dados

Novo trojan Android “Herodotus” engana controles de segurança e rouba dados

Uma sofisticada nova variante de trojan bancário para Android, batizada de Herodotus, está em campanha ativa no Brasil e Itália, conforme análise da empresa ThreatFabric. O código malicioso se destaca por simular padrões humanos de digitação, imitar o comportamento de usuários reais e assim evadir sistemas de detecção baseados em tempo-real.

A propagação inicia-se por meio de campanhas de smishing (phishing via SMS) que levam a vítima a instalar um aplicativo disfarçado. Esse dropper concede permissões de acessibilidade que permitem ao trojan tomar controle total do dispositivo, realizar cliques, deslizes e digitação, além de ativar a funcionalidade de sobreposição de tela (overlay) para capturar credenciais bancárias e códigos 2FA.

Mecanismos de infecção e escalada de privilégios

A primeira etapa da infecção envolve o envio de SMS fraudulentos alegando ser bancos ou serviços de pagamentos, como “Módulo Segurança Stone”. O usuário clica e instala o APK externo à Google Play Store, aceitando a permissão de fontes desconhecidas. Em seguida, o malware solicita acesso em Configurações → Acessibilidade para ativar suas funções maliciosas.

Uma vez com as permissões, o malware realiza uma inspeção dos apps instalados no dispositivo e envia essa lista para seu servidor de comando e controle. Do lado do invasor, uma página falsa específica é gerada para cada app bancário ou de criptomoedas instalado. Quando a vítima abre seu app real, o malware exibe uma tela de login falsa por cima, capturando credenciais e forças de autenticação. Simultaneamente, captura-se o SMS do 2FA e os textos da tela.

Inovação maligna: “humanização” dos comportamentos e evasão de antifraude

O que diferencia Herodotus de outros trojans é o módulo de “atuação humana”: ao manipular o dispositivo, o malware introduz atrasos randômicos de 0,3 a 3 segundos entre cada caractere digitado, imitando hesitações e pausas comuns em usuários humanos. Essa técnica enfraquece significativamente sistemas antifraude que monitoram padrões de digitação rápida ou sequência robótica.
Além disso, ele opera no padrão MaaS (Malware-as-a-Service), oferecendo-se para outros operadores cibercriminosos em fóruns underground — aumentando o alcance da ameaça e transformando-a em serviço acessível.

Impactos, risco ao usuário e setores visados

Usuários bancários, de apps de pagamento e de carteiras de criptomoedas são os principais alvos, principalmente em aparelhos Android 9 a 16. O roubo pode significar perda de acesso às contas, movimentação de fundos, comprometimento de identidade e posteriormente implicações legais ou financeiras.

Para instituições financeiras, a evolução da ameaça traz desafios: as defesas tradicionais baseadas em assinatura ou comportamento robótico já não são suficientes. O malware se adapta e simula comportamentos legítimos, exigindo que bancos e provedores de serviço reforcem a autenticação contextual e a verificação de ambiente.

Boas práticas e estratégias de defesa para mitigação

Evite instalar APKs de fontes externas e somente utilize a Google Play Store.
Ative e monitore o Google Play Protect.
Desconfie de SMS que solicitam instalação de “módulo”, “atualização” ou manutenção do app.
Revise permissões de acessibilidade: vá em Configurações → Acessibilidade e desative apps que não deveriam possuir esta permissão.
Utilize autenticação de dois fatores com app autenticador ou chave física, evitando SMS como meio principal de 2FA.
Mantenha sistema e aplicativos sempre atualizados, reduza permissões e remova apps não utilizados.
Tratar a segurança móvel como prioridade e adotar uma postura preventiva torna-se essencial frente a trojans que evoluem rapidamente.

Conclusão
O trojan Herodotus representa um salto na sofisticação das ameaças móveis: simulação humana de comportamento para evadir detecções, ataque em formato MaaS, e foco em contas bancárias e criptoativos. Para os analistas de cibersegurança, isso implica que a defesa precisa ultrapassar assinaturas e heurísticas tradicionais — exigindo inteligência de comportamento, autenticação resistente a phishing e vigilância contínua de atividades anômalas. Usuários finais devem adotar postura proativa, pois a proteção começa com a própria atenção ao que instalam, clicam e autorizam. Em um cenário onde o dispositivo pessoal é porta de acesso a finanças e identidade, a segurança não é opcional — é imperativa.

Referências Bibliográficas