AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

Nuevo troyano bancario Herodotus ataca dispositivos Android en Italia y Brasil con técnicas avanzadas de suplantación de comportamiento

admin

Introducción

En las últimas semanas, investigadores de ThreatFabric han revelado la existencia de un nuevo troyano bancario para Android denominado Herodotus, identificado en campañas activas dirigidas principalmente a usuarios en Italia y Brasil. Este malware representa una evolución significativa en la sofisticación de las amenazas móviles, ya que integra técnicas de suplantación de comportamiento humano para evadir los sistemas de biometría conductual, dificultando la detección tanto por parte de los usuarios como de las entidades bancarias. El descubrimiento de Herodotus subraya la necesidad de reforzar las estrategias de defensa en el entorno móvil, especialmente en sectores financieros y organizaciones sometidas a regulaciones estrictas como la GDPR y la NIS2.

Contexto del Incidente o Vulnerabilidad

Herodotus ha sido detectado en campañas activas desde el primer trimestre de 2024, destacando por su enfoque en el robo de credenciales bancarias y la apropiación total del dispositivo (Device Takeover, DTO). A diferencia de troyanos anteriores que se limitaban al robo de datos mediante superposición de formularios (overlays), Herodotus apunta a la toma de control integral del terminal Android, permitiendo a los atacantes ejecutar transacciones fraudulentas, interceptar comunicaciones y eludir mecanismos de autenticación multifactor (MFA).

El vector de infección predominante es la distribución a través de aplicaciones falsas disfrazadas de utilidades financieras o de productividad, fuera de los canales oficiales de Google Play, empleando técnicas de ingeniería social y phishing para persuadir a los usuarios a instalar el APK malicioso.

Detalles Técnicos

Herodotus introduce varias innovaciones técnicas que complican su detección y erradicación:

– **CVE y vulnerabilidades explotadas**: Aunque no se ha asociado a una CVE específica, el troyano explota las laxas políticas de permisos en Android y técnicas de abuso de la API de Accesibilidad (Accessibility Service), una táctica alineada con el TTP MITRE ATT&CK T1546.008 (Abuse Accessibility Features).
– **Vectores de ataque**: La infección inicial parte del envío de enlaces por SMS o mensajería instantánea, dirigiendo a portales de descarga de aplicaciones fraudulentas. Posteriormente, solicita permisos de accesibilidad y administración del dispositivo, lo que le permite superar las restricciones de seguridad.
– **Técnicas y herramientas**: Herodotus emplea técnicas de suplantación de comportamiento humano, simulando patrones de interacción (tap, scroll, swipe) para evadir soluciones anti-fraude basadas en biometría conductual. Esta capacidad lo diferencia de otros troyanos como Xenomorph o Alien.
– **IoC**: Los indicadores de compromiso incluyen la presencia de servicios persistentes de accesibilidad, conexiones a dominios C2 específicos observados en campañas italianas y brasileñas, y actividad anómala en logs de interacción.
– **Frameworks y exploits conocidos**: Aunque no se ha detectado aún integración directa con frameworks como Metasploit o Cobalt Strike, la arquitectura modular de Herodotus sugiere que podría evolucionar rápidamente para integrarse con infraestructuras de C2 más complejas.

Impacto y Riesgos

El impacto de Herodotus es especialmente crítico en organizaciones financieras y usuarios con acceso a sistemas corporativos. El malware puede:

– Realizar transacciones bancarias no autorizadas.
– Interceptar SMS, incluidas contraseñas de un solo uso (OTP).
– Suplantar la identidad del usuario en aplicaciones sensibles.
– Facilitar ataques posteriores de movimiento lateral si el dispositivo está vinculado a servicios empresariales.

Según ThreatFabric, hasta el 18% de las entidades bancarias en Italia y el 12% en Brasil han reportado intentos de fraude vinculados a Herodotus en el último mes, con pérdidas potenciales estimadas en varios millones de euros.

Medidas de Mitigación y Recomendaciones

Para mitigar los riesgos asociados a Herodotus, se recomienda:

1. **Restringir la instalación de aplicaciones a fuentes oficiales** y aplicar políticas de “App Allowlisting” en dispositivos corporativos.
2. **Monitorizar la activación de servicios de accesibilidad** y bloquear la concesión de permisos innecesarios.
3. **Implementar soluciones EDR y MTD especializadas** capaces de detectar patrones de comportamiento anómalos y simulación de interacción humana.
4. **Educar a los usuarios y empleados** sobre los riesgos del phishing y la descarga de aplicaciones no verificadas.
5. **Reforzar mecanismos de autenticación multifactor** que no dependan exclusivamente de SMS o notificaciones push susceptibles de interceptación.

Opinión de Expertos

Especialistas de ThreatFabric y analistas SOC coinciden en que Herodotus marca un punto de inflexión en la evolución de los troyanos móviles, al combinar técnicas de evasión biométrica conductual y DTO. “El uso de simulación de comportamiento humano supone un desafío para las soluciones anti-fraude tradicionales, que deberán adoptar modelos de inteligencia artificial más sofisticados para distinguir entre usuarios legítimos y automatizaciones maliciosas”, señala un analista senior de ThreatFabric.

Implicaciones para Empresas y Usuarios

La aparición de Herodotus obliga a bancos, fintechs y empresas con fuerza laboral móvil a revisar y endurecer sus controles de seguridad en el canal Android. La exposición a incidentes de DTO puede desencadenar obligaciones de notificación bajo GDPR y NIS2, así como sanciones económicas y daños reputacionales considerables. Además, se anticipa un aumento en la demanda de soluciones de MTD (Mobile Threat Defense) y una presión regulatoria para reforzar la seguridad en aplicaciones financieras.

Conclusiones

Herodotus representa una nueva generación de troyanos bancarios móviles, capaces de evadir defensas avanzadas y comprometer la integridad de dispositivos y transacciones. La colaboración entre equipos SOC, responsables de seguridad y desarrolladores de aplicaciones será clave para contener la amenaza y proteger tanto a usuarios finales como a infraestructuras críticas del sector financiero.

(Fuente: feeds.feedburner.com)