Mentre els usuaris d'Android es recuperen dels estralls que va deixar el malware "Pixnapping", detectat fa tot just unes setmanes, un altre atac ha entrat en acció. Es tracta del troià bancari per a Android, denominat "Herodotus". Segons els investigadors de ciberseguretat de ThreatFabric, aquest introdueix una sofisticació alarmant, en tenir la capacitat d'imitar patrons d'interacció propis d'un usuari humà.

Tradicionalment, les eines de seguretat i antifrau han utilitzat mètriques de comportament, com la velocitat de pulsació de tecles o els temps de resposta, per distingir una activitat automatitzada, pròpia d'un bot o malware, d'una acció legítima de l'usuari. "Herodotus" es destaca en intentar subvertir aquest mecanisme de detecció.

"Herodotus": el malware d'Android que imita patrons humans

Segons AndroidAuthority "Herodotus" està dissenyat per prendre el control del dispositiu de la víctima, emprant tàctiques habituals i efectives en l'ecosistema Android, com ara:

  • Abús de Serveis d'Accessibilitat: Utilitzar aquests permisos per gravar o registrar l'activitat en pantalla.
  • Atacs de Superposició: Desplegar pantalles d'inici de sessió falses sobre aplicacions legítimes (com les bancàries) per robar credencials.
  • Intercepció d'SMS: Capturar missatges de text entrants, un mètode clàssic per robar codis d'autenticació de dos factors (2FA).

Tanmateix, la simulació d'un comportament "humà" fa que el programari maliciós sigui excepcionalment difícil d'atrapar per als sistemes que es basen únicament en la velocitat robòtica o la uniformitat de les entrades.

Google ha respost

Davant l'aparició d'aquesta nova amenaça que es propaga a través de canals comuns de distribució de malware, Google ha confirmat la seva acció immediata per protegir la comunitat d'Android. Un portaveu de la companyia ha aclarit que, després de la seva anàlisi, no s'han trobat aplicacions que continguin aquest malware dins de la botiga Google Play. Aquesta primera línia de defensa és crucial.

A més, la companyia confia en la protecció automàtica que proporciona el seu sistema de seguretat integral: Google Play Protect. Aquest sistema s'activa per defecte en tots els dispositius Android que utilitzen Google Play Services.

La sofisticació d'aquest troià subratlla la importància del treball conjunt entre investigadors, desenvolupadors de plataformes i la vigilància dels usuaris serà clau per evitar les amenaces. Per als usuaris es recomana prendre mesures de prevenció com ara: instal·lar només des de Google Play, verificar permisos a aplicacions de tercers i mantenir actualitzat el sistema operatiu i les aplicacions de seguretat estiguin sempre al dia.