Um novo trojan bancário que imita comportamentos humanos foi descoberto no Brasil. O software criminoso tem a capacidade de enganar barreiras de segurança biométrica ao se passar por uma pessoa real.
Pesquisadores da empresa de cibersegurança Threat Fabric notam que a ação manipuladora do malware facilita o golpe, e também o roubo do dinheiro de vítimas.
A Threat Fabric afirma que a distribuição dessa campanha é provavelmente feita via SMiShing, um tipo de golpe que usa mensagens de texto ou SMS com links maliciosos para enganar as vítimas. Os desenvolvedores da ameaça a nomearam de Herodotus.
Os cibercriminosos estão se aproveitando de uma característica humana para burlar sistemas de verificação de identidade. Entende-se que quando uma pessoa, como eu e você, vai digitar uma senha, dados pessoais ou qualquer informação no celular, por exemplo, existem pausas e reflexões no meio da digitação.
)
Às vezes nos confundimos com a senha, olhamos para o lado para ver se ninguém está olhando o que estamos digitando ou até esbarramos na tecla errada e precisamos apagar e pensar no que estamos digitando. Acontece que o Herodotus consegue replicar esse mesmo comportamento.
O malware insere pausas aleatórias de 0,3 a 3 segundos entre cada caractere digitado – igual a você.
Os trojans bancários são malwares especializados em roubar dinheiro de contas bancárias e o Herodotus é de uma classificação chamada Device-Takeover, ou tomada de controle de dispositivo na tradução livre. Isso quer dizer que ele não só consegue roubar dinheiro da sua conta, mas também dá controle total do seu dispositivo para que os criminosos por trás da campanha possam acessar qualquer aplicativo e fazer transações de forma remota.
Pior que está, fica. O Herodotus, além de circular pelo Brasil e pela Itália, também está sendo anunciado em fóruns cibercriminosos como um Malware-as-a-service, por um ator de ameaças conhecido como “K1RO”. Ou seja, é mais um dos casos que o cibercrime vira um serviço de assinatura como um streaming. O Herodotus fornece aos operadores capacidade de:
- Clicar em elementos específicos da tela;
- Clicar por coordenadas exatas;
- Realizar swipes (deslizamentos);
- Inserir texto;
- Executar ações globais como Voltar, Home e Recentes.
A análise técnica revelou que o Herodotus compartilha código com outro malware descoberto pela ThreatFabric em abril de 2024, o Brokewell. No entanto, não se trata de uma evolução direta — é mais como um frankenstein, com partes do Brokewell costuradas junto com código original.
Além do controle remoto, o Herodotus tem todas as capacidades essenciais de um Banking Trojan moderno: overlay attack, roubo de SMS para interceptar códigos 2FA, e “accessibility logging” — a capacidade de interceptar e registrar tudo que aparece na sua tela, incluindo senhas, mensagens privadas e dados de aplicativos.
Como o malware chega no seu celular
O vetor de ataque começa com SMiShing — phishing por SMS. Você recebe uma mensagem que parece legítima, geralmente se passando por uma instituição financeira ou empresa de pagamentos, com um link para baixar um “módulo de segurança” ou uma “atualização importante”.
No Brasil, o Herodotus se disfarça como “Modulo Seguranca Stone”, fazendo referência à Stone, uma das principais adquirentes de pagamento do país. Na Itália, usa o nome “Banca Sicura” (Banco Seguro, em italiano). São nomes que soam oficiais o suficiente para não levantar suspeitas imediatas.
Quando você clica no link, baixa o que é chamado de “dropper”, um aplicativo que funciona como instalador. O dropper foi escrito pelo mesmo desenvolvedor do Herodotus e, até agora, só foi visto distribuindo este malware específico.
Uma vez iniciado, o dropper instala o “payload” — o vírus propriamente dito — e o faz de forma a contornar restrições do Android 13 ou superior. O sistema operacional tem proteções contra o abuso de Serviços de Acessibilidade, mas o Herodotus encontrou uma forma de driblá-las.
)
Após a instalação, o dropper abre automaticamente a página de configurações do Serviço de Acessibilidade, incentivando você a habilitá-lo. Este é o momento crítico. O Serviço de Acessibilidade foi criado originalmente para ajudar pessoas com deficiência, permitindo que apps leiam a tela e realizem ações em nome do usuário.
Assim que você habilita o serviço, o Herodotus lança uma “sobreposição de bloqueio” que imita uma tela de carregamento. Enquanto você vê um “aguarde, processando…”, o malware está silenciosamente concedendo a si mesmo todas as permissões necessárias para operar.
O teatro das telas falsas
Uma vez instalado e com as permissões necessárias, o Herodotus está pronto para o show. A primeira coisa que ele faz é coletar a lista de todos os aplicativos instalados no seu celular e enviar para o servidor C2 (Command and Control, ou Comando e Controle) — o “quartel general” dos criminosos.
O servidor analisa a lista e responde com URLs específicas. Cada URL contém uma página falsa desenhada para se parecer exatamente com um dos seus apps bancários. É como receber um roteiro personalizado para cada vítima.
A partir deste momento, o Herodotus fica à espreita, esperando. Quando você abre seu app bancário, o malware sobrepõe uma tela falsa por cima da tela verdadeira. Você acha que está digitando no aplicativo real do banco, mas está digitando na armadilha.
Essa técnica se chama “overlay attack” (ataque de sobreposição) e não é nova. O que diferencia o Herodotus está no que acontece depois que você entrega suas credenciais.
Além das credenciais, o Herodotus também intercepta seus SMS. O malware captura o código de verificação por mensagem de texto antes mesmo de você ver. A autenticação de dois fatores, que deveria ser uma camada extra de proteção, se torna inútil.
Quem é Heródoto
Heródoto (Herodotus em português) foi um geógrafo e historiador grego. Conhecido como “o pai da história”, segundo o orador romando Cícero, o historiador foi acusado de ter inventado fatos em suas obras. Ele teria morrido 425 anos a.C.
Como se proteger
Mas há boas notícias: você pode se proteger. O Herodotus, por mais sofisticado que seja tecnicamente, ainda depende de você cometer erros básicos para conseguir infectar seu dispositivo.
- Nunca instale apps fora da Google Play Store. Mesmo na Play Store é preciso cautela, mas o side-loading — instalação de apps de fontes externas — é o vetor primário do Herodotus. Se você precisa ativar “Fontes Desconhecidas” nas configurações para instalar algo, isso é um alerta vermelho gigante.
- Desconfie de SMS com links. Bancos e empresas legítimas não enviam SMS pedindo para você baixar apps ou “módulos de segurança”. Se você receber uma mensagem assim, acesse o site oficial da empresa digitando o endereço manualmente no navegador, ou ligue para o número oficial.
- Nunca clique no link da mensagem.
- Nunca dê permissão de Acessibilidade para apps que você não conhece completamente. Esta é a permissão mais perigosa no Android. Ela dá controle total do dispositivo. Se um app está pedindo Acessibilidade e você não entende exatamente por que ele precisa disso, recuse.
- Use autenticação de dois fatores em tudo que for crítico. E-mail, banco, redes sociais. Preferencialmente, use um app autenticador (Google Authenticator, Microsoft Authenticator, Authy) ou chave de segurança física. Evite usar SMS como fator de segurança sempre que possível, já que o Herodotus intercepta mensagens.
- Considere usar um gerenciador de senhas. Além de gerar senhas fortes e únicas para cada serviço, gerenciadores modernos incluem verificação automática contra bancos de dados de senhas vazadas.