Um novo malware para Android, chamada Herodotus, utiliza uma técnica de injeção de atrasos aleatórios em suas rotinas de input para simular o comportamento humano em dispositivos móveis.
A estratégia tem como objetivo evitar a detecção por soluções de segurança que monitoram o tempo das ações do usuário.
De acordo com a empresa de segurança Threat Fabric, o Herodotus é oferecido como malware-as-a-service (MaaS) para cibercriminosos com motivação financeira, possivelmente controlados pelos mesmos operadores atrás do Brokewell.
Embora ainda esteja em desenvolvimento, clientes dessa plataforma MaaS já utilizam o malware para atacar usuários na Itália e no Brasil, principalmente por meio de SMS phishing, conhecido como smishing.
As mensagens maliciosas contêm um link para um dropper personalizado, que instala o payload principal e tenta contornar as restrições de permissões de Accessibility presentes no Android 13 ou superior.
O dropper acessa as configurações de Accessibility, solicita ao usuário que habilite o serviço e, em seguida, exibe uma sobreposição (overlay) com uma tela falsa de carregamento.
Essa página oculta as etapas para a concessão da permissão, que são realizadas em segundo plano.
Após garantir acesso a essas permissões sensíveis, o Herodotus pode interagir livremente com a interface do Android, executando ações como tocar em coordenadas específicas da tela, deslizar, voltar e inserir texto — seja colando da área de transferência ou digitando pelo teclado.
Entretanto, ações automatizadas na UI, especialmente a digitação, podem apresentar um ritmo mecânico, diferente do humano, o que pode ser identificado por softwares de segurança que monitoram padrões comportamentais.
Para driblar essa análise, o malware incorpora um mecanismo chamado "humanizer" na função de entrada de texto, que insere atrasos aleatórios entre 0,3 e 3 segundos.
Essa variação simula a cadência natural da digitação humana, dificultando a detecção.
“Essa randomização no intervalo entre os eventos de input é coerente com a forma como um usuário real digita”, explica a Threat Fabric.
“Ao atrasar conscientemente a digitação por intervalos irregulares, os atores buscam evitar a identificação por soluções antifraude que detectam velocidades de digitação mecânicas.”
Segundo a empresa, atrasos em malwares para Android geralmente ajudam a garantir que a interface do aplicativo responda corretamente antes de seguir para a próxima ação.
No entanto, as pausas aleatórias implementadas pelo Herodotus representam uma inovação, provavelmente desenhada especificamente para escapar dos sistemas de detecção comportamental.
Além dessas características, o Herodotus oferece aos operadores:
- Painel de controle com opções para personalizar textos de SMS
- Páginas de overlay que simulam aplicativos bancários e de criptomoedas para roubar credenciais
- Overlays opacos que ocultam fraudes da vítima
- Stealer de SMS para interceptar códigos de autenticação de dois fatores
- Captura de conteúdo da tela
A Threat Fabric destaca que o Herodotus já está em circulação entre diversos grupos de ameaças, identificados por sete subdomínios distintos, o que indica que sua adoção no ambiente real já começou.
Para minimizar os riscos, usuários de Android devem evitar baixar arquivos APK fora do Google Play, a menos que confiem plenamente no desenvolvedor, e manter o Play Protect sempre ativado.
Mesmo com esses cuidados, é fundamental revisar e revogar permissões perigosas, como a de Accessibility, para aplicativos recém-instalados, reduzindo assim as chances de invasões e fraudes.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...