Proteja-se contra o malware Herodotus para Android, que simula digitação para evitar a detecção.

Proteja-se contra o malware Herodotus para Android, que simula digitação para evitar a detecção.

O surgimento do Herodotus, um malware para Android identificado recentemente, gerou preocupações significativas no âmbito da cibersegurança. Este malware opera sob o modelo de malware como serviço (MaaS), permitindo que agentes maliciosos o desenvolvam e o implementem com relativa facilidade. Utilizando estratégias enganosas, o Herodotus pode induzir os usuários ao erro e contornar diversas medidas de segurança, representando uma séria ameaça à integridade dos dispositivos. Neste artigo, vamos analisar o funcionamento do Herodotus, como ele se infiltra nos dispositivos e as medidas cruciais para proteger sua vida digital.

Entendendo como Heródoto funciona

Herodotus é um malware singular que integra características do infame Brokewell, ao mesmo tempo que introduz técnicas sofisticadas próprias. Os métodos de distribuição incluem principalmente ataques SMiShing e páginas web fraudulentas que incentivam os usuários a instalar o aplicativo por fora da loja oficial do sistema.

Após a instalação, o malware solicita aos usuários que habilitem o Serviço de Acessibilidade, direcionando-os diretamente para as configurações do dispositivo. Essa sobreposição permite que o Herodotus execute suas tarefas maliciosas, focadas principalmente em esvaziar contas bancárias.

Após a ativação, ele recebe comandos personalizados para abrir aplicativos específicos, interceptar mensagens SMS de autenticação de dois fatores (2FA), preencher formulários automaticamente e manipular a entrada do dispositivo por meio de toques e gestos.

Notavelmente, o Herodotus imita a digitação humana natural, introduzindo atrasos aleatórios de 0, 3 a 3 segundos na entrada de texto. Essa tática o ajuda a escapar da detecção por mecanismos de monitoramento comportamental que muitos aplicativos utilizam, dificultando a identificação da ameaça por soluções de segurança padrão. Com sua disponibilidade como uma oferta de MaaS (Mobile Application as a Service), múltiplos usuários podem acessá-lo e utilizá-lo, com relatos já indicando sete instâncias distintas do Herodotus em ação.

Prevenção de infecções por Heródoto

Sua primeira linha de defesa contra o malware Herodotus é a conscientização e a cautela. Como um trojan bancário, ele se disfarça de aplicativos legítimos para persuadir os usuários a baixá-lo. Tenha extrema cautela com links recebidos por SMS ou avisos inesperados do navegador que incentivam a instalação de aplicativos, independentemente de alegarem ser atualizações de segurança ou outros aplicativos essenciais.

Fontes legítimas não solicitarão que você instale aplicativos por fora da loja oficial, pois as atualizações normalmente não exigem isso. Sempre obtenha aplicativos da Google Play Store ou de outros repositórios confiáveis, especialmente quando a solicitação parecer não solicitada ou suspeita.

Uma solicitação para ativar o Serviço de Acessibilidade deve soar o alarme imediatamente. Conceder essa permissão permite que o malware observe e manipule o conteúdo da tela, dando aos hackers a capacidade de assumir o controle do seu dispositivo.

Além disso, certifique-se de que o Google Play Protect esteja ativado na loja, pois esse recurso identifica e desativa automaticamente aplicativos nocivos. Para verificar o status, acesse a Play Store, clique em Play Protect no menu principal e confirme se está ativo.

Página de verificação do Google Play Protect

Identificando os sinais da infecção por Heródoto.

Devido aos seus privilégios de acesso elevados e à capacidade de interromper o rastreamento comportamental, detectar o Herodotus pode ser um desafio para softwares de segurança comuns. Caso suspeite que seu dispositivo Android possa estar comprometido, fique atento aos seguintes sinais de alerta:

  • Se você se deparar com uma mensagem suspeita em tela cheia pedindo para você esperar, especialmente ao iniciar aplicativos sensíveis, como aplicativos bancários, isso pode indicar atividade de malware.
  • Aplicativos desconhecidos com permissões de acessibilidade: as permissões de acesso devem ser concedidas apenas a aplicativos confiáveis. Verifique Configurações → Acessibilidade → Aplicativos baixados para entradas desconhecidas.
Configurações de acessibilidade no Android
  • Atividade inesperada de SMS: Se você começar a receber mensagens SMS de autenticação de dois fatores (2FA) que não reconhece, ou se elas se multiplicarem inesperadamente, seu dispositivo pode ter sido comprometido pelo Herodotus.
  • Uso excessivo de recursos: Este malware executa vários processos em segundo plano que podem levar a um consumo anormal de bateria ou a um desempenho lento. Verifique Configurações → Bateria para identificar aplicativos desconhecidos que estejam consumindo energia em excesso.
Gráfico de consumo de bateria mostrando o consumo dos aplicativos

Medidas a serem tomadas se o seu dispositivo estiver infectado

Caso confirme que seu dispositivo está infectado com o vírus Herodotus, coloque imediatamente seu telefone no modo avião e siga estes passos essenciais:

Desinstale o aplicativo malicioso.

Sua prioridade deve ser remover o malware. Devido às suas permissões elevadas, os processos tradicionais de desinstalação podem não ser suficientes. Se tiver dificuldades para desinstalar, verifique as configurações de Acessibilidade para revogar as permissões.

Além disso, acesse Configurações → Proteção de privacidade → Permissões especiais para garantir que o malware não tenha privilégios de administrador do dispositivo ou de exibição sobre outros aplicativos. Inicializar o dispositivo no Modo de segurança do Android também pode facilitar o processo de remoção.

Lista de permissões especiais nas configurações do Android

Proteja suas contas online

A partir de um dispositivo seguro, altere imediatamente as senhas de todas as contas acessadas no dispositivo comprometido, principalmente as credenciais bancárias. Sempre que possível, utilize um aplicativo autenticador para autenticação de dois fatores (2FA) e revogue quaisquer sessões ativas por meio das configurações de segurança dos seus serviços online. Caso detecte transações não autorizadas, informe imediatamente sua instituição financeira.

Realize uma verificação de segurança completa.

Após desinstalar o aplicativo malicioso, é fundamental realizar uma verificação de segurança para garantir que todos os vestígios do malware sejam eliminados. Comece acessando o Play Protect na Google Play Store, como mencionado anteriormente, para realizar uma verificação. Em seguida, considere baixar um aplicativo antivírus confiável, como o Avast Antivirus & Security, para executar uma análise completa do sistema.

Para uma camada adicional de proteção contra Heródoto, fazer backup de seus dados essenciais e restaurar as configurações de fábrica podem ser medidas prudentes.

A prevenção de malware como o Herodotus depende, em grande parte, da obtenção de aplicativos exclusivamente da Google Play Store e da abstenção de instalações de fontes externas. No entanto, mesmo aplicativos de fontes confiáveis ​​podem estar comprometidos, portanto, ativar todos os recursos de segurança disponíveis do Android é crucial para uma proteção ideal.

Fonte e imagens

Artigos relacionados:

A Microsoft lançou a atualização KB5070349 do Windows 11 para a configuração OOBE nas versões 25H2 e 24H2.
Download não oficial arriscado para burlar os requisitos do Windows 11: como a negligência pode levar à infecção do PC

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *