La cybersicurezza torna ad essere scosso da un allarme che riguarda da vicino Italia e Brasile. Gli analisti di Threat Fabric hanno individuato un nuovo trojan bancario per Android, battezzato Herodotus. Quest’ultimo è capace di assumere il controllo quasi totale dei dispositivi infetti e di svuotare i conti correnti online. Una minaccia che conferma l’evoluzione continua delle strategie del cybercrimine e la vulnerabilità degli utenti alle tecniche di ingegneria sociale. Herodotus nasce da un’evoluzione del trojan Brokewell, ma introduce elementi di sofisticazione inediti. È distribuito secondo il modello del “malware-as-a-service”, una formula sempre più diffusa. La quale consente a gruppi criminali di affittare l’accesso alla piattaforma di gestione del virus pagando un canone mensile. Ciò significa che chiunque, anche senza competenze tecniche elevate, può servirsi del malware e controllare gli smartphone compromessi attraverso un’interfaccia remota nel dark web.
Ecco le informazioni emerse sul malware Herodotus
L’infezione parte da un classico attacco di phishing, veicolato tramite SMS, email o messaggi privati. Le vittime vengono indirizzate verso un sito che propone il download di un’app fasulla chiamata “Banca Sicura”. Oppure, nella versione brasiliana, “Modulo Seguranca Stone”. L’installazione non avviene attraverso il Play Store ufficiale, ma da fonti esterne. Una volta avviata, l’app richiede l’attivazione dei servizi di accessibilità di Android. I quali sono nati per assistere persone con disabilità ma da tempo sfruttati da diversi malware per ottenere il controllo totale del sistema.
Con tali permessi, Herodotus può leggere lo schermo, inserire testi, simulare tocchi e interagire con l’interfaccia come un utente reale. Se sul dispositivo sono presenti app bancarie, il trojan comunica la lista al proprio server di comando, che invia grafiche contraffatte identiche a quelle delle app legittime. Quando l’utente apre l’app originale, una schermata fake si sovrappone a quella autentica. Consentendo così al malware di rubare le credenziali di accesso. Da quel momento, Herodotus tenta di entrare nel conto bancario imitando i comportamenti umani.
Le conseguenze possono essere gravi, ma la difesa rimane nelle mani dell’utente. Gli esperti ricordano che le banche non inviano mai link per scaricare applicazioni e che nessuna app legittima chiede l’attivazione dei servizi di accessibilità se non strettamente necessario. Evitare di seguire link sospetti e scaricare software solo da store ufficiali resta la misura più efficace per prevenire l’infezione.