ThreatFabric scopre Herodotus, trojan bancario Android che imita tap e swipe per eludere i controlli. In Italia e Brasile. Difese con Google Play Protect.
© RusPhotoBank
I ricercatori di ThreatFabric hanno individuato un nuovo trojan bancario per Android, battezzato Herodotus. Il malware punta su una tattica insolita: imita il comportamento reale degli utenti, inserendo pause casuali tra i tocchi e riproducendo swipe e tap, così che i sistemi di rilevamento tendano a scambiarne l’attività per umana.
Herodotus continua a seguire lo schema consolidato dei trojan bancari: schermate di accesso contraffatte, intercettazione degli SMS di 2FA e abuso dei permessi di accessibilità. Offusca inoltre le proprie mosse con overlay, monitora quali app sono in esecuzione e invia quell’elenco al server di comando per far comparire, al momento giusto, un’interfaccia fittizia e sottrarre dati. Sono state registrate campagne in Italia (spacciandosi per Banca Sicura) e in Brasile (come Modulo Seguranca Stone).
Ciò che distingue Herodotus è che le interazioni automatizzate risultano credibilmente umane, complicando il lavoro degli strumenti che analizzano velocità e ritmo degli input. Gli esperti avvertono che le difese abituali possono non essere sufficienti. I consigli pratici, però, non cambiano: evitare di installare app da fonti non fidate, stare alla larga da link sospetti e affidarsi alle protezioni integrate di Android, compreso Google Play Protect. È un segnale eloquente della direzione in cui sta andando il gioco del gatto e del topo: perfino i gesti più basilari possono essere imitati al punto da sembrare autentici, il che rende ancora più decisive abitudini d’uso disciplinate e salvaguardie a livello di piattaforma. E il quadro lascia l’impressione che l’asticella della simulazione si stia alzando, spostando l’attenzione su pratiche di sicurezza costanti e sul buon senso nell’uso quotidiano.