Uma nova e sofisticada ameaça para Android, batizada de Herodotus, está a ser distribuída como um serviço (MaaS - Malware-as-a-Service) a cibercriminosos. O seu grande trunfo é a capacidade de imitar o comportamento humano para contornar as defesas dos telemóveis, visando atualmente utilizadores em Itália e no Brasil através de mensagens de phishing por SMS (smishing).
Segundo os especialistas da empresa de segurança Threat Fabric, os operadores por trás deste novo malware são os mesmos responsáveis pelo Brokewell.
O ator que engana a segurança do seu telemóvel
O Herodotus chega aos dispositivos através de um link malicioso enviado por SMS, que instala um ficheiro APK. Este primeiro instalador foi desenhado para contornar as restrições de permissões de Acessibilidade presentes no Android 13 e versões posteriores. Para o conseguir, a aplicação abre as definições de Acessibilidade e, enquanto pede ao utilizador para ativar o serviço, exibe uma janela com um falso ecrã de carregamento. Por trás desta cortina, o malware concede a si mesmo as permissões necessárias sem que a vítima se aperceba.
Com acesso a estas permissões sensíveis, o Herodotus consegue interagir com a interface do sistema, tocando em coordenadas específicas do ecrã, deslizando ou inserindo texto. A grande inovação deste malware é o seu mecanismo "humanizador": para evitar ser detetado por software de segurança que analisa padrões de comportamento, o Herodotus insere pausas aleatórias de 0,3 a 3 segundos enquanto digita, imitando assim a cadência de um utilizador real.
Os perigos para além da imitação
A capacidade de se fazer passar por humano é apenas a porta de entrada. Uma vez instalado, o Herodotus oferece aos cibercriminosos um leque de ferramentas perigosas:
Roubo de credenciais: Utiliza páginas sobrepostas (overlays) que imitam aplicações bancárias e de criptomoedas para roubar os seus dados de acesso.
Ocultação de fraude: Exibe ecrãs opacos para esconder as ações fraudulentas que executa em segundo plano.
Interceção de SMS: Rouba mensagens de texto, permitindo obter códigos de autenticação de dois fatores (2FA).
Captura de ecrã: Regista o conteúdo exibido no ecrã do dispositivo.
A Threat Fabric confirma que o Herodotus já está a ser ativamente distribuído por vários atacantes, o que indica uma adoção rápida no mundo do cibercrime.
Como se pode proteger
Para minimizar o risco de infeção por este e outros malwares semelhantes, os utilizadores de Android devem seguir algumas recomendações essenciais. Evite descarregar ficheiros APK de fontes externas à Google Play Store, a menos que confie totalmente no editor.
É fundamental garantir que o Play Protect está ativo no seu dispositivo. Além disso, analise com atenção as permissões que as novas aplicações solicitam, desconfiando especialmente daquelas que pedem acesso aos serviços de Acessibilidade sem uma justificação clara e legítima.
Nenhum comentário
Seja o primeiro!