El virus no tiene prisa y por eso logra burlar las defensas de Android
Heródoto «piensa» cada letra: en un mundo de bots, lo que llama la atención es la rapidez, no la lentitud.
En dispositivos móviles con Android se ha detectado la aparición de un nuevo programa malicioso llamado Herodotus. Sus creadores han implementado una táctica inusual para evadir los sistemas de análisis de comportamiento: al introducir texto, el virus imita acciones humanas reales para evitar que se detecte comportamiento automatizado.
Según Threat Fabric, Herodotus se distribuye como parte de un esquema de servicio malicioso por suscripción. En su promoción participan los mismos implicados que en la campaña anterior Brokewell. Por ahora el virus está en fase de desarrollo activo, pero ya se utiliza en ataques contra usuarios en Italia y Brasil. Los atacantes envían SMS con enlaces maliciosos que conducen a la descarga de un instalador, que coloca el componente principal del programa y evade las restricciones introducidas en Android 13 y versiones posteriores.
El mecanismo de instalación incluye la apertura forzada de los ajustes de accesibilidad, tras lo cual se solicita al usuario que active el servicio correspondiente. Al mismo tiempo, en la pantalla aparece una ventana falsa con una animación de carga que oculta lo que ocurre en segundo plano. Una vez obtenidos los permisos necesarios, el virus puede controlar la interfaz del sistema: realizar toques, desplazamientos, volver a pantallas anteriores e introducir texto —tanto mediante el portapapeles como directamente desde el teclado.
Para no despertar sospechas del software de seguridad, Herodotus imita la escritura de texto con retrasos variables entre caracteres de 0,3 a 3 segundos. Esta variabilidad en los intervalos temporales ayuda a generar un comportamiento similar al humano y dificulta la detección de la automatización.
Como subrayan los analistas de Threat Fabric, antes los retrasos entre acciones en malware para Android se utilizaban para la sincronización técnica con la interfaz de usuario. En el caso de Herodotus se trata de un enfoque fundamentalmente distinto: la introducción de un mecanismo de «humanización» diseñado específicamente para evadir algoritmos que detectan velocidades de operación parecidas a las de una máquina.
Además de esta característica, las capacidades de Herodotus incluyen un panel de control que permite configurar los textos de los SMS, la creación de interfaces falsas de aplicaciones bancarias y de criptomonedas para robar credenciales, la superposición de ventanas opacas que ocultan las acciones fraudulentas al propietario del dispositivo, la interceptación de mensajes con códigos de autenticación de dos factores y la captura del contenido de la pantalla.
Los especialistas han identificado al menos siete subdominios distintos relacionados con Herodotus, lo que indica su difusión activa por varias agrupaciones al mismo tiempo. Para minimizar riesgos, se recomienda a los usuarios evitar instalar archivos APK desde fuentes de terceros y verificar siempre si está activada la protección Play Protect. También conviene revisar regularmente y, si es necesario, revocar los permisos de accesibilidad concedidos a aplicaciones recién instaladas.
¿Estás cansado de que Internet sepa todo sobre ti?