Foi descoberta uma nova nova família de malware para Android, chamada Herodotus, que é capaz de simular escrita “à humano” para dificultar a sua detecção.
O Herodotus, uma nova família de malware para Android, é oferecido como malware-as-a-service (MaaS) e disponibiliza uma vasta gama de capacidades e funcionalidades. Apesar de ainda estar em desenvolvimento, este malware já está a ser usado por criminosos e foi detectado em campanhas dirigidas a utilizadores em Itália e no Brasil via smishing (phishing por SMS).As mensagens SMS contêm um link para um dropper personalizado que instala o payload principal e tenta contornar as restrições de permissões em Android 13 e superiores. O dropper abre as definições de Acessibilidade e pede ao utilizador que active o serviço enquanto mostra uma janela sobreposta com um ecrã de carregamento falso para esconder os passos de activação de permissões.
Com as permissões dadas, o malware passa a controlar a interface do Android: toca em coordenadas, faz gestos de deslizar, e insere texto por injecção no clipboard ou por escrita no teclado. É precisamente neste último ponto que oferece uma capacidade curiosa; para evitar ser apanhado por sistemas que procuram padrões automáticos, inclui um sistema que que adiciona atrasos aleatórios de 0.3 a 3 segundos entre a escrita das letras, simulando o ritmo humano de escrita e dificultando a detecção. O pacote também oferece painel de controlo para personalizar SMS, sobreposições que imitam apps bancárias e de crypto para roubar credenciais, roubo de SMS para interceptar códigos 2FA, e captura de ecrã.
A propagação já foi associada a múltiplos subdomínios, o que indica que estará a ser usado por diferentes grupos. Como sempre, para reduzir o risco, há que evitar instalar APKs fora da Play Store a não ser que se saiba o que se está a fazer e se tenha total confiança na fonte do apk. Convém também verificar que o serviço Play Protect está activo e verificar que apps têm acesso a permissões sensíveis, especialmente as permissões de acessibilidade que permitem que uma app possa ter controlo total sobre o smartphone.
(Ptnik)