Um trojan bancário avançado chamado Herodotus tornou-se uma ameaça relevante para usuários Android em todo o mundo. Distribuído como Malware-as-a-Service, o aplicativo malicioso se disfarça como ferramenta legítima para enganar vítimas, induzindo-as a baixar e instalar um arquivo APK fora da Play Store oficial.
Permissões críticas e transações bancárias em nome do usuário
Após ser instalado, o Heródoto solicita e obtém conclusões críticas do sistema, operando diretamente em contas bancárias comprometidas. O trojan permanece praticamente invisível para soluções tradicionais de proteção, mesmo apresentando comportamento claramente malicioso.
Divulgação via campanhas de phishing por SMS
A principal estratégia de propagação do malware envolve campanhas de phishing por SMS. Os usuários recebem links que levam a páginas de download fraudulentas, onde o APK é instalado e recebe informações confidenciais, incluindo recursos de acessibilidade.
Táticas sofisticadas de evasão e “humanização” de ações
Analistas da Pradeo identificaram que o trojan utiliza sobreposições de tela para roubar credenciais bancárias e realizar sessões periódicas. Para driblar mecanismos antifraude, o Heródoto simula comportamentos humanos como atrasos programados, micro-movimentos e digitações realistas, tornando a detecção automatizada muito mais difícil.
O malware captura tanto o conteúdo da tela quanto os dados do teclado, permitindo monitoramento de atividades e execução de transações enquanto o usuário permanece logado em seus aplicativos bancários.
Falhas dos antivírus e necessidade de proteção em múltiplas camadas
Durante os testes, os especialistas verificaram que o Heródoto não dispara alertas nem mesmo nas bases de assinaturas dos principais antivírus. Uma abordagem tradicional de soluções de segurança, baseada em padrões conhecidos e assinaturas, falha porque o trojan utiliza SMS como vetor inicial, exige permissões inseguras e apenas executa ações maliciosas após aprovações explícitas pelo usuário.
Para defesa eficaz, é preciso analisar a ocorrência de múltiplos indicadores de comprometimento: SMS suspeitos, instalação por fontes desconhecidas, missões críticas solicitadas e anomalias comportamentais sobreposição de telas e interações simuladas. Esses sinais, isoladamente, podem parecer inocentes, mas combinados revelam uma campanha ativa que a proteção convencional não detecta.
