El uso de retardos aleatorios de entre 0,3 y 3 segundos en la introducción de caracteres al interactuar con aplicaciones permite que Herodotus ejecute acciones automatizadas que simulan la conducta de un usuario real. Esta técnica contribuye a que el troyano pase inadvertido tanto por las capas de seguridad del dispositivo como por los sistemas automatizados de detección, evitando así señales típicas asociados con la actividad maliciosa. De acuerdo con la información publicada por Threat Fabric, este mecanismo de disimulo constituye una de las principales novedades de Herodotus, la nueva amenaza digital identificada en el entorno Android.
El medio Threat Fabric detalló que Herodotus representa una familia de ‘malware’ independiente, aunque incorpora elementos del conocido troyano bancario Brokewell. La nueva variante no constituye una simple evolución, sino una herramienta con identidades propias, diseñada específicamente para que ciberdelincuentes tomen el control remoto de dispositivos móviles con la finalidad de robar información bancaria. Según destacó Threat Fabric en su blog oficial, Herodotus pone el foco en dispositivos con el sistema operativo Android a partir de la versión 13, una franja ampliamente extendida en numerosos mercados.
Los ataques identificados por Threat Fabric utilizan campañas de smishing, basadas en el envío de mensajes de texto que aparentan proceder de fuentes confiables. Estos mensajes incluyen enlaces capaces de descargar un ‘dropper’ personalizado, el cual instala el troyano en los teléfonos móviles de las víctimas. Una de las primeras acciones del software malicioso consiste en solicitar permisos de Accesibilidad en el dispositivo infectado. Si el usuario concede ese acceso, Herodotus obtiene el control completo del smartphone, abriendo la puerta a la manipulación remota del terminal y la exfiltración de datos sensibles.
Según describió Threat Fabric, una vez instalado y con los permisos adecuados, Herodotus permite a actores maliciosos ejecutar aplicaciones, navegar en ellas y rellenar formularios para realizar transferencias u operaciones bancarias. Parte de la información manipulada —especialmente credenciales o datos financieros— se gestiona desde el portapapeles del dispositivo, evitando la utilización directa del teclado virtual para sortear errores o trazas anómalas que podrían delatar su actividad ante barreras de ciberseguridad.
El análisis de Threat Fabric subrayó que esta familia de ‘malware’ no solo introduce retardos entre caracteres al completar formularios, sino que además emplea superposiciones gráficas en la interfaz de las aplicaciones objetivo. Estas capas visuales muestran pantallas falsas para solicitar las credenciales de usuario y, una vez obtenido el acceso, pueden desplegar mensajes de espera mientras presuntamente se procesan las operaciones, camuflando las acciones reales tras una fachada legítima ante el usuario atacado.
Las investigaciones de Threat Fabric indican que Herodotus se encuentra activo en campañas detectadas principalmente en Italia y Brasil, dos regiones donde el uso de dispositivos Android resulta predominante y donde los atacantes han enfocado sus acciones para maximizar el fraude financiero. Según publicó Threat Fabric, la infraestructura técnica de Herodotus facilita que los atacantes exploten las vulnerabilidades de los sistemas bancarios móviles sin que las actividades sospechosas se reflejen de manera evidente.
Threat Fabric explicó que, al fragmentar la introducción de texto y adoptar comportamientos similares al de un usuario humano real, Herodotus logra evadir varios de los sistemas antimalware habituales destinados a identificar patrones automatizados y repetitivos. Además, al operar sobre la interfaz legítima de las aplicaciones y camuflar las actividades fraudulentas con pantallas de espera o formularios simulados, reduce las probabilidades de que el usuario perciba la manipulación.
Al respecto, Threat Fabric concluyó en su comunicación sobre Herodotus que el sofisticado diseño del troyano y sus métodos de camuflaje podrían suponer una amenaza considerable para la banca móvil en plataformas Android modernas. El enfoque combina técnicas heredadas de amenazas previas con innovaciones centradas en el engaño del usuario y eludir la supervisión algorítmica, lo que podría dificultar la respuesta por parte de bancos y empresas tecnológicas para proteger a los usuarios.
