Pesquisadores descobriram um novo trojan bancário para Android chamado Herodotus, que se destaca por uma técnica inédita: ele simula a digitação humana ao preencher campos nos apps financeiros — com pausas randômicas entre 0,3 e 3 segundos — para driblar sistemas de antifraude baseados em biometria comportamental e detecção por ritmo de interação.
O que é o Herodotus e como ele age
Herodotus é classificado como um Device-Takeover banking Trojan: além de capturar credenciais, ele pode assumir o controle do aparelho da vítima para realizar transações e outras ações prejudiciais. O malware tem sido oferecido como Malware-as-a-Service (MaaS) por um ator conhecido apenas como K1R0, segundo os relatórios técnicos.
Vetores de distribuição
A distribuição segue o padrão do smishing: vítimas recebem SMS com link malicioso que baixa um instalador/dropper fora da Play Store (sideload). O trojan também solicita permissões sensíveis e tenta usar os recursos de acessibilidade do Android para operar em segundo plano.
Alvos e campanhas ativas
Campanhas do Herodotus já foram observadas na Itália e no Brasil, onde o malware se camufla como apps/serviços legítimos — por exemplo, falsos módulos de segurança que imitam provedores ou apps bancários locais. Também há registros de páginas sobrepostas (overlays) contra bancos e corretoras em outros países.
Por que a técnica de “digitação humana” é perigosa
Muitos sistemas antifraude utilizam biometria comportamental (cadência de digitação, tempo entre toques, padrões de uso) para detectar bots e atividade automatizada. Ao inserir texto caractere a caractere com intervalos aleatórios, Herodotus reduz sinais óbvios de automação — tornando mais difícil detectar a intrusão apenas por análise do ritmo de interação. Isso amplia as chances de sucesso em ataques de takeover e fraude em tempo real.
Como se proteger (passos práticos)
- Nunca clique em links de SMS suspeitos; confirme a origem antes de baixar qualquer app.
- Baixe apps apenas pela Google Play e mantenha o Play Protect ativado.
- Revogue permissões desnecessárias (acessibilidade, SMS, instalação de fontes desconhecidas) e revise apps com acesso a essas funções.
- Use autenticação multifator (2FA) que não dependa apenas de SMS (prefira app autenticador ou token físico).
- Mantenha o sistema e apps atualizados e tenha solução de segurança móvel confiável em aparelhos corporativos.
Relevância para bancos e provedores de pagamento
Relatórios alertam que controles baseados somente em ritmo de digitação e heurísticas simples serão insuficientes contra famílias como Herodotus. A recomendação dos pesquisadores é adotar camadas de defesa: análise comportamental integrada com verificação do ambiente do dispositivo, detecção de sobreposição de telas, verificação de integridade e monitoração de sinais de takeover.
Conclusão
Herodotus mostra que os atacantes continuam refinando técnicas para parecerem humanos — e que a segurança móvel precisa evoluir junto. Para usuários, a melhor defesa é cautela (não instalar apps de fontes externas), configuração correta de permissões e autenticação forte. Para empresas, o caminho é uma estratégia em camadas que combine análise comportamental avançada com detecção do estado do dispositivo.
