O nouă familie de troieni Android, denumită „Herodotus”, a fost descoperită în campanii active care vizează în special utilizatori din Italia şi Brazilia. Potrivit cercetătorilor în securitate cibernetică, acest malware este oferit pe modelul malware-as-a-service (MaaS) şi permite atacatorilor preluarea completă a dispozitivelor infectate, folosind metode avansate pentru a evita detectarea bazată pe biometria comportamentală.
Herodotus se răspândeşte prin aplicaţii „dropper” ce imită aplicaţii legitime, cum ar fi Google Chrome („com.cd3.app”), distribuite prin mesaje SMS de tip phishing sau prin alte tehnici de inginerie socială. După instalare, troianul solicită permisiuni extinse, exploatează serviciile de accesibilitate Android şi poate instala aplicaţii suplimentare fără aprobarea Google Play.
Un element unic al acestui malware este funcţia sa de „umanizare” a acţiunilor. Operatorii pot introduce întârzieri aleatoare între caracterele tastate, între 300 şi 3.000 de milisecunde, pentru a imita ritmul natural al utilizatorilor umani. Această tehnică face mai dificilă detectarea automată bazată pe analiza temporală a inputului, permiţând troianului să ocolească sistemele antifraudă.
Herodotus poate, de asemenea, afişa suprapuneri grafice (overlay) pentru a fura date de autentificare, intercepta mesaje SMS cu coduri 2FA, capta ecranul dispozitivului, extrage codul PIN sau modelul de deblocare şi acorda permisiuni adiţionale pentru a menţine controlul complet asupra telefonului. Analizele arată similitudini de cod cu familia de malware Brokewell, dar şi inovaţii în mecanismele de persistenţă şi control în timp real al conturilor bancare.
Deşi primele atacuri au fost observate în Italia şi Brazilia, cercetătorii au identificat infrastructuri şi pagini de phishing pregătite şi pentru SUA, Marea Britanie, Polonia şi Turcia, semn că gruparea intenţionează să se extindă rapid. Herodotus a fost promovat pe forumuri clandestine din 7 septembrie 2025, conform rapoartelor de securitate.
Experţii avertizează că troienii de acest tip pot păcăli sistemele antifraudă care se bazează exclusiv pe biometria comportamentală, permiţând atacatorilor să menţină accesul activ la sesiunile utilizatorilor şi să efectueze tranzacţii frauduloase fără a fi detectaţi.
Pentru a se proteja, utilizatorii sunt sfătuiţi să evite instalarea aplicaţiilor din linkuri primite prin SMS sau surse neoficiale, să verifice atent permisiunile solicitate, să folosească autentificare în doi paşi bazată pe aplicaţii (TOTP) sau chei hardware, să menţină sistemul actualizat şi să evite rootarea dispozitivului.
Instituţiile financiare sunt îndemnate să nu se bazeze exclusiv pe biometria comportamentală, ci să adopte mecanisme suplimentare de protecţie: verificarea integrităţii aplicaţiilor, detectarea suprapunerilor WebView, limitarea sesiunilor suspecte şi monitorizarea semnelor de control la distanţă.
