Gli utenti Android in Italia (e in Brasile) hanno un nuovo nemico informatico a cui stare attenti: Herodotus, un malware bancario capace di assumere il pieno controllo dei dispositivi infetti e rubare denaro da conti online. Questo trojan, sviluppato da un autore noto come K1R0 e scoperto dagli esperti di ThreatFabric, si distingue per la capacità di imitare il comportamento umano durante le sessioni di controllo remoto, rendendo più difficile il rilevamento da parte dei sistemi antifrode. La diffusione avviene tramite SMS ingannevoli che invitano gli utenti a installare un'app apparentemente legittima; in Italia, il malware si è mascherato come “Banca Sicura”. Una volta installato, Herodotus utilizza i servizi di accessibilità di Android per leggere i contenuti dello schermo e sovrapporre schermate false alle app bancarie legittime, raccogliendo così credenziali e codici di accesso temporanei con cui eludere l'autenticazione a due fattori.
Ciò che lo rende particolarmente insidioso è la randomizzazione dei tempi di digitazione durante l’inserimento dei dati, simulando la pressione dei singoli tasti, proprio come farebbe una persona reale con pause da 0,3 a 3 secondi. Questo accorgimento riduce la probabilità che i sistemi antifrode basati sull'analisi del comportamento riconoscano l'attività come automatizzata e, quindi, come potenzialmente illegittima. Il malware comunica con i server di comando tramite protocollo MQTT e può essere distribuito come Malware-as-a-Service, ovvero come servizio affittabile da altri criminali informatici, cosa che estende il raggio d'azione del malware. Per proteggersi, è fondamentale evitare di installare app da fonti non ufficiali, non aprire link sospetti ricevuti via SMS e mantenere aggiornato il sistema Android insieme a strumenti di sicurezza affidabili.
Come funziona il malware bancario Herodotus e cosa si rischia
Entrando più nel merito della vicenda, possiamo notare come Herodotus opera seguendo lo schema dei moderni trojan bancari Android e prende il controllo del dispositivo infetto attraverso funzionalità di accessibilità, permettendo all’operatore remoto di eseguire azioni sullo schermo come cliccare elementi, scorrere pagine o inserire testo. Quando la vittima apre l'app bancaria, Herodotus sovrappone una schermata falsa che replica l’interfaccia reale, inducendo l’utente a fornire credenziali e codici temporanei. Il malware intercetta anche gli SMS in arrivo, per acquisire i codici temporanei relativi all'autenticazione a due fattori, e registra ciò che compare sullo schermo.
L'aspetto distintivo di Herodotus è la modalità con cui “umanizza” l’inserimento dei dati: anziché incollare tutte le informazioni in un campo contemporaneamente, simula la digitazione carattere per carattere a intervalli casuali, cercando di confondere sistemi antifrode che monitorano velocità e sequenze degli input da tastiera. Questa tecnica aumenta le possibilità di successo dei furti, pur rimanendo riconoscibile da strumenti avanzati di analisi comportamentale. Herodotus può anche mostrare overlay semitrasparenti sopra le app infette per nascondere le operazioni fraudolente alla vittima, proteggendo l’operatore remoto da eventuali interventi dell'utente.
La distribuzione di Herodotus avviene tramite smishing, ossia SMS con link malevoli che conducono a un “contagocce”, un software che scarica e installa il malware vero e proprio. Questo dropper, scritto dallo stesso sviluppatore, è progettato per aggirare le restrizioni di Android 13+ e per guidare la vittima nell'abilitare il servizio di accessibilità necessario al funzionamento del trojan.
Herodotus integra inoltre soluzioni tecniche già note nei malware bancari Brokewell, come la cifratura delle stringhe memorizzate nel codice nativo e decriptate in fase di esecuzione, rendendo più difficile il rilevamento e l'analisi del malware. Pur condividendo alcune somiglianze con i malware Brokewell, gli esperti informatici di ThreatFabric, che hanno scoperto Herodotus, nel loro rapporto hanno spiegato:
[Herodotus] è in fase di sviluppo attivo, prende in prestito tecniche da tempo associate al trojan bancario Brokewell e sembra essere stato appositamente progettato per persistere all'interno delle sessioni live piuttosto che limitarsi a rubare credenziali statiche e concentrarsi sull'Account Takeover. Una capacità distintiva, la randomizzazione degli intervalli di tempo tra gli input di testo, mira probabilmente a imitare il comportamento umano in modo sufficientemente accurato da aggirare il rilevamento dei bot e dell'automazione, l'euristica delle sessioni e alcune biometrie comportamentali.
Come difendersi dal malware bancario Herodotus
Vista la pericolosità di questa nuova minaccia informatica, è essenziale prestare la massima attenzione ad alcune semplici, e al contempo efficaci, strategie di difesa, come quelle elencate di seguito:
- Non installare applicazioni da fonti non ufficiali andando a limitare i download al Google Play Store.
- Non aprire link sospetti ricevuti via SMS, tramite messaggistica istantanea, via e-mail, etc.
- Fare attenzione a installare prontamente gli aggiornamenti di sistema, nonché gli update disponibili per le app installate sul dispositivo e i software di sicurezza in uso, riducendo così la superficie di attacco e la possibilità di infezioni da malware sofisticati come Herodotus.
;Resize,width=578;)
;Resize,width=767;)
;Resize,width=727;)
;Resize,width=727;)
;Resize,width=727;)
;Resize,width=727;)
