Herodotus, il trojan bancario che sfida le difese antifrode imitando l'uomo
Scovato un trojan bancario per Android in grado di controllare lo smartphone da remoto e imitare il comportamento umano per confondere i sistemi di sicurezza
In Sintesi
- Scoperto un nuovo trojan bancario Android chiamato Herodotus, che è in grado di eseguire il controllo remoto completo del dispositivo per compiere frodi finanziarie.
- Questo malware sfrutta i servizi di accessibilità per rubare credenziali, codici 2FA e registrare lo schermo, e si distingue per la sua capacità di simulare il comportamento umano per eludere i sistemi antifrode.
Gli esperti di sicurezza informatica di ThreatFabric hanno scovato un nuovo trojan bancario per Android chiamato Herodotus, osservato in campagne attive sia in Italia che in Brasile. Stando al report condiviso, il malware è progettato per eseguire un vero e proprio controllo remoto del dispositivo e per condurre attacchi di Device Takeover (DTO), in grado, cioè, di prendere il controllo totale del conto vittima attraverso un dispositivo mobile infetto.
Cosa sappiamo del trojan Herodotus
Secondo ThreatFabric Herodotus è stato messo in vendita nei forum del dark web a settembre 2025 come sistema di tipo malware-as-a-service (MaaS). Gli autori pubblicizzano la compatibilità con diverse versioni di Android, dalla 9 fino alla 16, e il kit viene anche offerto a terze parti che possono affittarne o comprarne le funzionalità per campagne mirate.
Il vettore principale per la diffusione del malware è il classico dropper camuffato da app legittima, distribuito tramite SMS phishing o altre tecniche di ingegneria sociale. Una volta installato, Herodotus sfrutta i servizi di accessibilità per estendere i propri privilegi e interagire con lo schermo del dispositivo. Questo consente agli hacker di:
- mostrare schermate di overlay per rubare credenziali simulando pagine di login delle app finanziarie
- intercettare i codici 2FA inviati via SMS
- registrare tutto ciò che appare sul display
- acquisire PIN o sequenze di sblocco
- concedersi permessi aggiuntivi e scaricare/installare APK remoti
Ma la vera particolarità di Herodotus è la sua capacità di imitare il comportamento umano per eludere sistemi antifrode basati sull’analisi comportamentale. Il trojan include, infatti, un’implementazione che introduce ritardi casuali tra gli eventi di input, una strategia che fa sembrare gli input generati dal bot come digitazione umana reale, riducendo la probabilità di essere individuato da soluzioni che segnalano attività con velocità di digitazione troppo elevata.
Cosa rischiano gli utenti e come difendersi da Herodotus
Herodotus rappresenta una minaccia piuttosto grave che non punta soltanto a sottrarre credenziali, ma anche a mantenere l’accesso in sessione e a compiere operazioni in tempo reale, rendendo spesso inefficaci le misure di difesa basate su rilevamento di accessi anomali post-fattum.
Per ridurre il rischio di infezione e di successo di questo tipo di campagne, al solito, è consigliabile non installare app da fonti esterne al Play Store e, sicuramente, di diffidare di link ricevuti via SMS.
Importante anche disattivare o limitare l’uso dei servizi di accessibilità alle sole app ritenute attendibili, bloccandoli per tutti quei tool che non ne hanno bisogno. Cruciale anche tenere sempre aggiornato il sistema operativo e Google Play Protect.
Infine, per quanto riguarda l’autenticazione a due fattori (2FA) è sempre bene non utilizzare metodi basati su SMS o app su smartphone, ma optare per chiavi hardware o eventualmente app installate su dispositivi esterni.
