Proteggiti dal malware Android Herodotus che simula la digitazione per evitare il rilevamento

Proteggiti dal malware Android Herodotus che simula la digitazione per evitare il rilevamento

L’emergere di Herodotus, un malware Android identificato di recente, ha sollevato notevoli preoccupazioni nell’ambito della sicurezza informatica. Questo malware opera secondo il modello del malware-as-a-service (MaaS), consentendo ai malintenzionati di svilupparlo e distribuirlo con relativa facilità. Utilizzando strategie ingannevoli, Herodotus può ingannare gli utenti ed eludere diverse misure di sicurezza, rappresentando una seria minaccia per l’integrità dei dispositivi. In questo articolo, approfondiremo il funzionamento di Herodotus, come si infiltra nei dispositivi e i passaggi cruciali per salvaguardare la tua vita digitale.

Capire come funziona Erodoto

Herodotus è un malware unico nel suo genere che integra funzionalità del famigerato Brokewell, introducendo al contempo tecniche sofisticate proprie. I metodi di distribuzione includono principalmente attacchi SMiShing e pagine web non autorizzate che incoraggiano gli utenti a installare l’app.

Dopo l’installazione, il malware chiede agli utenti di abilitare il Servizio di Accessibilità, indirizzandoli direttamente alle impostazioni del dispositivo. Questa sovrapposizione consente a Herodotus di eseguire le sue attività dannose, principalmente mirate a prosciugare i conti bancari.

Dopo l’attivazione, riceve comandi personalizzati per aprire applicazioni specifiche, intercettare messaggi SMS con autenticazione a due fattori (2FA), compilare automaticamente moduli e manipolare l’input del dispositivo tramite tocchi e gesti.

Sorprendentemente, Herodotus imita la digitazione umana naturale introducendo ritardi casuali da 0, 3 a 3 secondi durante l’inserimento del testo. Questa tattica aiuta a eludere il rilevamento da parte dei meccanismi di monitoraggio comportamentale implementati da molte app, rendendo difficile per le soluzioni di sicurezza standard identificare la minaccia. Grazie alla sua disponibilità come offerta MaaS, più utenti possono accedervi e utilizzarlo, con report che indicano già sette distinte istanze di Herodotus in azione.

Prevenire le infezioni di Erodoto

La prima linea di difesa contro il malware Herodotus è la consapevolezza e la cautela. Essendo un trojan bancario, si maschera da applicazione legittima per convincere gli utenti a scaricarlo. Prestate la massima attenzione ai link ricevuti tramite SMS o alle richieste inaspettate del browser che sollecitano l’installazione di app, indipendentemente dal fatto che si spaccino per aggiornamenti di sicurezza o altre app essenziali.

Le fonti legittime non ti chiederanno di effettuare il sideload delle applicazioni, poiché gli aggiornamenti in genere non lo richiedono. Scarica sempre le app dal Google Play Store o da altri repository attendibili, soprattutto quando la richiesta sembra indesiderata o insolita.

Una richiesta di attivazione del Servizio di Accessibilità dovrebbe far scattare immediatamente l’allarme. Concedere questa autorizzazione consente al malware di osservare e manipolare il contenuto dello schermo, dando agli hacker la possibilità di prendere il controllo del dispositivo.

Inoltre, assicurati che Google Play Protect sia abilitato nello store, poiché questa funzionalità identifica e disabilita automaticamente le applicazioni dannose. Per verificarne lo stato, accedi al Play Store, clicca su Play Protect nel menu principale e verifica che sia attivo.

Pagina di scansione di Google Play Protect

Identificazione dei segni dell’infezione da Erodoto

A causa dei suoi privilegi di accesso elevati e della capacità di interrompere il tracciamento comportamentale, rilevare Herodotus può essere difficile per i software di sicurezza comuni. Se sospetti che il tuo dispositivo Android possa essere compromesso, fai attenzione ai seguenti segnali di allarme:

  • Se visualizzi un messaggio sospetto a schermo intero che ti invita ad attendere, in particolare quando avvii applicazioni sensibili come quelle bancarie, potrebbe indicare un’attività malware.
  • App sconosciute con autorizzazioni di accessibilità: le autorizzazioni di accesso dovrebbero essere concesse solo alle applicazioni attendibili. Controlla Impostazioni → Accessibilità → App scaricate per voci non familiari.
Impostazioni di accessibilità in Android
  • Attività SMS imprevista: se inizi a ricevere messaggi SMS 2FA che non riconosci o se si moltiplicano in modo imprevisto, il tuo dispositivo potrebbe essere stato compromesso da Herodotus.
  • Aumento dell’utilizzo delle risorse: questo malware esegue numerosi processi in background che possono causare un consumo anomalo della batteria o prestazioni lente. Esamina Impostazioni → Batteria per identificare eventuali app sconosciute che consumano troppa energia.
Grafico del consumo della batteria che mostra il consumo delle app

Cosa fare se il dispositivo è infetto

Se hai la conferma che il tuo dispositivo è infetto da Herodotus, metti immediatamente il telefono in modalità Aereo e segui questi passaggi essenziali:

Disinstallare l’app dannosa

La tua priorità deve essere la rimozione del malware. Considerati i suoi permessi elevati, i tradizionali processi di disinstallazione potrebbero non essere sufficienti. Se hai difficoltà a disinstallarlo, rivisita le impostazioni di Accessibilità per revocarne i permessi.

Inoltre, vai su Impostazioni → Protezione della privacy → Autorizzazioni speciali per assicurarti che il malware non abbia privilegi di amministratore del dispositivo o di visualizzazione rispetto ad altre app. Anche l’avvio del dispositivo in modalità provvisoria Android può facilitare il processo di rimozione.

elenco delle autorizzazioni speciali nelle impostazioni di Android

Proteggi i tuoi account online

Da un dispositivo sicuro, modifica tempestivamente le password di tutti gli account a cui accedi tramite il dispositivo compromesso, in particolare le credenziali bancarie. Ove possibile, utilizza un’app di autenticazione per l’autenticazione a due fattori (2FA) e revoca eventuali sessioni attive tramite le impostazioni di sicurezza dei tuoi servizi online. Se rilevi transazioni non autorizzate, informa immediatamente il tuo istituto finanziario.

Eseguire una scansione di sicurezza completa

Dopo aver disinstallato l’app dannosa, è fondamentale eseguire una scansione di sicurezza per garantire che tutte le tracce di malware siano state eliminate. Inizia accedendo a Play Protect dal Google Play Store, come accennato in precedenza, per eseguire una scansione. Successivamente, valuta la possibilità di scaricare un’applicazione antivirus affidabile, come Avast Antivirus & Security, per eseguire un esame completo del sistema.

Per un ulteriore livello di protezione contro Erodoto, può essere prudente effettuare il backup dei dati essenziali ed eseguire un ripristino delle impostazioni di fabbrica.

Per prevenire malware come Herodotus è fondamentale scaricare le applicazioni esclusivamente dal Google Play Store ed evitare il sideload. Tuttavia, anche le applicazioni provenienti da fonti affidabili possono essere compromesse, quindi abilitare tutte le funzionalità di sicurezza Android disponibili è fondamentale per una protezione ottimale.

Fonte e immagini

Articoli correlati:

Microsoft rilascia l'aggiornamento KB5070349 di Windows 11 per la configurazione OOBE nelle versioni 25H2 e 24H2
Download rischioso e non ufficiale di bypass dei requisiti di Windows 11: come la disattenzione può portare all'infezione del PC

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *