Investigadores de ciberseguridad han revelado detalles de un nuevo troyano bancario para Android llamado heródoto Esto se ha observado en campañas activas dirigidas a Italia y Brasil para llevar a cabo ataques de adquisición de dispositivos (DTO).
«Herodotus está diseñado para tomar el control del dispositivo mientras hace los primeros intentos de imitar el comportamiento humano y evitar la detección biométrica del comportamiento», dijo ThreatFabric en un informe compartido con The Hacker News.
La compañía de seguridad holandesa dijo que el troyano se anunció por primera vez en foros clandestinos el 7 de septiembre de 2025, como parte del modelo de malware como servicio (MaaS), promocionando su capacidad para ejecutarse en dispositivos con Android versión 9 a 16.
Se evalúa que, si bien el malware no es una evolución directa de otro malware bancario conocido como Brokewell, ciertamente parece haber tomado ciertas partes del mismo para crear la nueva cepa. Esto incluye similitudes en la técnica de ofuscación utilizada, así como menciones directas de Brokewell en Heródoto (por ejemplo, «BRKWL_JAVA»).
Herodotus también es el último de una larga lista de malware para Android que abusa de los servicios de accesibilidad para lograr sus objetivos. Distribuido a través de aplicaciones de cuentagotas que se hacen pasar por Google Chrome (nombre del paquete «com.cd3.app») mediante phishing por SMS u otras tácticas de ingeniería social, el programa malicioso aprovecha la función de accesibilidad para interactuar con la pantalla, ofrece pantallas superpuestas opacas para ocultar actividad maliciosa y realiza robo de credenciales mostrando pantallas de inicio de sesión falsas encima de aplicaciones financieras.
Además, también puede robar códigos de autenticación de dos factores (2FA) enviados por SMS, interceptar todo lo que se muestra en la pantalla, otorgarse permisos adicionales según sea necesario, tomar el PIN o patrón de la pantalla de bloqueo e instalar archivos APK remotos.
Pero donde destaca el nuevo malware es en su capacidad para humanizar el fraude y evadir detecciones basadas en el tiempo. Específicamente, esto incluye una opción para introducir retrasos aleatorios al iniciar acciones remotas, como escribir texto en el dispositivo. Esto, dijo ThreatFabric, es un intento por parte de los actores de amenazas de hacer que parezca que la entrada la ingresa un usuario real.
«El retraso especificado está en el rango de 300 a 3000 milisegundos (0,3 a 3 segundos)», explicó. «Tal aleatorización del retraso entre eventos de entrada de texto se alinea con la forma en que un usuario ingresaría texto. Al retrasar conscientemente la entrada en intervalos aleatorios, los actores probablemente estén tratando de evitar ser detectados por soluciones antifraude que solo detectan el comportamiento y detectan una velocidad de entrada de texto similar a la de una máquina».
ThreatFabric dijo que también obtuvo páginas superpuestas utilizadas por Herodotus dirigidas a organizaciones financieras en los EE. UU., Turquía, el Reino Unido y Polonia, junto con billeteras e intercambios de criptomonedas, lo que indica que los operadores están intentando expandir activamente sus horizontes.
«Está bajo desarrollo activo, toma prestadas técnicas asociadas desde hace mucho tiempo con el troyano bancario Brokewell y parece diseñado específicamente para persistir dentro de sesiones en vivo en lugar de simplemente robar credenciales estáticas y centrarse en la apropiación de cuentas», señaló la compañía.