Herodotus es un nuevo troyano bancario para Android identificado por ThreatFabric que destaca por una capacidad poco habitual: simular de forma deliberada el comportamiento humano durante la interacción con el dispositivo. Esta técnica le permite eludir motores de biometría de comportamiento usados por bancos y fintech, elevando la probabilidad de account takeover (ATO) y transacciones fraudulentas dentro de sesiones legítimas.
Modelo MaaS y cobertura de versiones: alcance operativo amplio
De acuerdo con ThreatFabric, Herodotus se comercializa desde el 7 de septiembre de 2025 bajo el modelo malware-as-a-service (MaaS), lo que reduce barreras de entrada y acelera el escalado de campañas. Los operadores anuncian compatibilidad con Android 9 a 16, abarcando gran parte del parque de dispositivos activo y maximizando la superficie de ataque.
Vínculos técnicos con Brokewell sin ser un fork directo
Aunque no es un derivado directo del conocido banker Brokewell, el análisis del código revela técnicas de ofuscación similares y referencias explícitas como la cadena “BRKWL_JAVA”. Este “parentesco” funcional sugiere reutilización de ideas y componentes, un patrón recurrente en la evolución del malware financiero para Android, según han documentado repetidamente laboratorios de respuesta e inteligencia de amenazas.
Distribución: dropper camuflado y smishing para activar Accesibilidad
Herodotus se propaga mediante aplicaciones dropper que se hacen pasar por Google Chrome (paquete com.cd3.app), así como a través de SMS phishing (smishing) y otras tácticas de ingeniería social. Tras la instalación, el troyano solicita el uso de Android Accessibility Services y, una vez otorgados, obtiene un control extenso del dispositivo, incluida la lectura de pantalla, la interacción con la interfaz y la inyección de entradas.
Simulación humana: latencias aleatorias para burlar la biometría conductual
El rasgo diferenciador es su capacidad para introducir retrasos aleatorios de 300 a 3000 ms entre caracteres al realizar entradas remotas. Este patrón temporal emula la variabilidad del tecleo humano, dificultando que los motores antifraude basados en biometría de comportamiento (que analizan ritmo, cadencia y dinámica de interacción) identifiquen automatización o scripts. El resultado es una mayor persistencia en sesiones activas y un ATO más silencioso.
Geografía de las campañas y sectores afectados
Las primeras oleadas se han observado en Italia y Brasil, con overlays ya preparados para entidades de Estados Unidos, Turquía, Reino Unido y Polonia. Además del sector bancario, los operadores muestran interés por monederos y plataformas de criptomonedas, alineándose con la tendencia de diversificación de monetización del cibercrimen financiero descrita por proveedores de inteligencia y por informes como ENISA Threat Landscape.
Por qué evadir la biometría de comportamiento es un salto cualitativo
La biometría conductual se ha consolidado como capa clave del antifraude móvil al correlacionar microgestos (tiempos entre clics, aceleración de deslizamientos, presión, etc.) con perfiles de riesgo. Herodotus es el primer troyano para Android conocido que adapta activamente su patrón de interacción para mimetizar a un usuario real, dificultando los controles continuos de sesión. Esto desplaza el foco desde la simple exfiltración de credenciales hacia el secuestro y mantenimiento de sesiones, donde OTP y contraseñas estáticas ofrecen menor protección.
Recomendaciones de mitigación para equipos de seguridad y usuarios
Para reducir el riesgo, conviene combinar medidas de control del canal móvil con detección de automatización UI:
- Políticas MDM/EMM: restringir instalación desde orígenes desconocidos y gatear el acceso a Accessibility según rol y contexto.
- Mobile Threat Defense (MTD): capacidades de detección de overlays, abuso de accesibilidad, inyección de entradas y entornos instrumentados/emulados.
- Antifraude multicapa: mantener biometría conductual, pero enriquecer con detectores de scripting, huella de dispositivo, señales de red y análisis de sesión en tiempo real.
- Concienciación y hardening: verificar permisos, ignorar enlaces de SMS sospechosos, mantener el sistema y las apps actualizadas, y usar tiendas oficiales.
Herodotus confirma que los actores de amenazas están perfeccionando la “automatización humano-símil” para degradar controles continuos. Reforzar la defensa exige revisar modelos de riesgo, probar los mecanismos antifraude frente a latencias y patrones realistas de tecleo sintético y elevar la observabilidad en el canal móvil. Mantenerse al día de los avisos de ThreatFabric y de informes sectoriales permitirá anticipar iteraciones futuras de esta familia y reducir la ventana de exposición.
