{"id":23411,"date":"2025-11-04T08:00:00","date_gmt":"2025-11-04T11:00:00","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=23411"},"modified":"2025-10-31T19:38:25","modified_gmt":"2025-10-31T22:38:25","slug":"trojan-engana-controles-de-seguranca-e-rouba-dados","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2025\/11\/exploits\/trojan-engana-controles-de-seguranca-e-rouba-dados\/","title":{"rendered":"Trojan engana controles de seguran\u00e7a e rouba dados"},"content":{"rendered":"\n

Novo trojan Android \u201cHerodotus\u201d engana controles de seguran\u00e7a e rouba dados<\/strong><\/p>\n

Uma sofisticada nova variante de trojan banc\u00e1rio para Android, batizada de Herodotus, est\u00e1 em campanha ativa no Brasil e It\u00e1lia, conforme an\u00e1lise da empresa ThreatFabric. O c\u00f3digo malicioso se destaca por simular padr\u00f5es humanos de digita\u00e7\u00e3o, imitar o comportamento de usu\u00e1rios reais e assim evadir sistemas de detec\u00e7\u00e3o baseados em tempo-real.<\/p>\n

A propaga\u00e7\u00e3o inicia-se por meio de campanhas de smishing<\/em> (phishing via SMS) que levam a v\u00edtima a instalar um aplicativo disfar\u00e7ado. Esse dropper<\/em> concede permiss\u00f5es de acessibilidade que permitem ao trojan tomar controle total do dispositivo, realizar cliques, deslizes e digita\u00e7\u00e3o, al\u00e9m de ativar a funcionalidade de sobreposi\u00e7\u00e3o de tela (overlay) para capturar credenciais banc\u00e1rias e c\u00f3digos 2FA.<\/p>\n

\u00a0<\/p>\n

Mecanismos de infec\u00e7\u00e3o e escalada de privil\u00e9gios<\/strong><\/p>\n

A primeira etapa da infec\u00e7\u00e3o envolve o envio de SMS fraudulentos alegando ser bancos ou servi\u00e7os de pagamentos, como \u201cM\u00f3dulo Seguran\u00e7a Stone\u201d. O usu\u00e1rio clica e instala o APK externo \u00e0 Google Play Store, aceitando a permiss\u00e3o de fontes desconhecidas. Em seguida, o malware solicita acesso em Configura\u00e7\u00f5es \u2192 Acessibilidade para ativar suas fun\u00e7\u00f5es maliciosas.<\/p>\n

Uma vez com as permiss\u00f5es, o malware realiza uma inspe\u00e7\u00e3o dos apps instalados no dispositivo e envia essa lista para seu servidor de comando e controle. Do lado do invasor, uma p\u00e1gina falsa espec\u00edfica \u00e9 gerada para cada app banc\u00e1rio ou de criptomoedas instalado. Quando a v\u00edtima abre seu app real, o malware exibe uma tela de login falsa por cima, capturando credenciais e for\u00e7as de autentica\u00e7\u00e3o. Simultaneamente, captura-se o SMS do 2FA e os textos da tela.<\/p>\n

\u00a0<\/p>\n

Inova\u00e7\u00e3o maligna: \u201chumaniza\u00e7\u00e3o\u201d dos comportamentos e evas\u00e3o de antifraude<\/strong><\/p>\n

O que diferencia Herodotus de outros trojans \u00e9 o m\u00f3dulo de \u201catua\u00e7\u00e3o humana\u201d: ao manipular o dispositivo, o malware introduz atrasos rand\u00f4micos de 0,3 a 3 segundos entre cada caractere digitado, imitando hesita\u00e7\u00f5es e pausas comuns em usu\u00e1rios humanos. Essa t\u00e9cnica enfraquece significativamente sistemas antifraude que monitoram padr\u00f5es de digita\u00e7\u00e3o r\u00e1pida ou sequ\u00eancia rob\u00f3tica.
Al\u00e9m disso, ele opera no padr\u00e3o MaaS (Malware-as-a-Service), oferecendo-se para outros operadores cibercriminosos em f\u00f3runs underground \u2014 aumentando o alcance da amea\u00e7a e transformando-a em servi\u00e7o acess\u00edvel.<\/p>\n

\u00a0<\/p>\n

Impactos, risco ao usu\u00e1rio e setores visados<\/strong><\/p>\n

Usu\u00e1rios banc\u00e1rios, de apps de pagamento e de carteiras de criptomoedas s\u00e3o os principais alvos, principalmente em aparelhos Android 9 a 16. O roubo pode significar perda de acesso \u00e0s contas, movimenta\u00e7\u00e3o de fundos, comprometimento de identidade e posteriormente implica\u00e7\u00f5es legais ou financeiras.<\/p>\n

Para institui\u00e7\u00f5es financeiras, a evolu\u00e7\u00e3o da amea\u00e7a traz desafios: as defesas tradicionais baseadas em assinatura ou comportamento rob\u00f3tico j\u00e1 n\u00e3o s\u00e3o suficientes. O malware se adapta e simula comportamentos leg\u00edtimos, exigindo que bancos e provedores de servi\u00e7o reforcem a autentica\u00e7\u00e3o contextual e a verifica\u00e7\u00e3o de ambiente.<\/p>\n

\u00a0<\/p>\n

Boas pr\u00e1ticas e estrat\u00e9gias de defesa para mitiga\u00e7\u00e3o<\/strong><\/p>\n