ThreatFabric alerta sobre Herodotus, troyano bancario Android que imita gestos, intercepta 2FA y abusa de accesibilidad. Cómo protegerte con Play Protect.
© RusPhotoBank
Investigadores de ThreatFabric han detectado un nuevo troyano bancario para Android, bautizado Herodotus. El malware recurre a una táctica inusual: imita el comportamiento de un usuario real, introduce pausas aleatorias entre toques y reproduce deslizamientos y pulsaciones, de modo que los sistemas de detección tienden a interpretar su actividad como humana.
Aun así, Herodotus se apoya en el guion conocido de los troyanos bancarios: pantallas de inicio de sesión falsas, interceptación de códigos SMS de 2FA y abuso de los permisos de accesibilidad. Además, oculta sus acciones con superposiciones, vigila qué aplicaciones están activas y envía esa lista a su servidor de mando para activar una interfaz falsa en el momento oportuno y robar datos. Se han registrado campañas con el troyano en Italia (haciéndose pasar por Banca Sicura) y Brasil (como Modulo Seguranca Stone).
Lo que distingue a Herodotus es que sus interacciones automatizadas resultan convincentemente humanas, lo que complica la detección para las herramientas que monitorizan la velocidad y el ritmo de la entrada. Los expertos advierten que las defensas habituales pueden quedarse cortas. El consejo práctico, no obstante, no cambia: evitar instalar apps de fuentes no confiables, desconfiar de los enlaces sospechosos y apoyarse en las protecciones nativas de Android, incluido Google Play Protect. El mensaje es claro sobre hacia dónde va el juego del gato y el ratón: incluso los gestos más básicos pueden falsificarse lo suficiente como para pasar por auténticos, así que los hábitos disciplinados del usuario y las salvaguardas a nivel de plataforma pesan cada vez más.