Herodotus es un troyano bancario para Android recientemente documentado por investigadores de seguridad que ha sido observado en campañas activas dirigidas, entre otros, a objetivos en Italia y Brasil. Diseñado para llevar a cabo ataques de Device Takeover (DTO), Herodotus combina técnicas de abuso de servicios de accesibilidad con mecanismos para “humanizar” la interacción remota y así evadir soluciones basadas exclusivamente en detección de comportamiento.

El malware fue publicitado en foros clandestinos (modelo malware-as-a-service, MaaS) a partir del 7 de septiembre de 2025, promocionando compatibilidad con dispositivos Android desde la versión 9 hasta la 16. Aunque no parece ser una nueva evolución directa del troyano Brokewell, Herodotus incorpora elementos técnicos y técnicas de ofuscación que recuerdan a esa familia (por ejemplo, referencias internas como BRKWL_JAVA), así como patrones de abuso de servicios de accesibilidad ampliamente conocidos en troyanos bancarios móviles.

Vectores de distribución

Herodotus se distribuye principalmente mediante droppers (aplicaciones cebos) que se hacen pasar por apps legítimas —un ejemplo documentado usa el paquete com.cd3.app imitando a Google Chrome— y que llegan al usuario por:

• SMS phishing (SMiShing) con enlaces a la descarga.
• Campañas de Ingeniería Social (enlaces en mensajería, redes sociales, sitios de terceros).
• Reempaquetado en APKs y tiendas no oficiales.

Estas aplicaciones dropper instalan el payload principal y solicitan o se auto-otorgan permisos que permiten al troyano persistir y operar con amplio nivel de control sobre el dispositivo.

Capacidades y técnicas operativas

Herodotus incorpora un conjunto de funcionalidades típicas de troyanos bancarios avanzados, además de características diseñadas para aumentar persistencia y evasión:

• Abuso de los Servicios de Accesibilidad: utiliza la API de accesibilidad para interactuar con la interfaz (emular taps, escribir texto, navegar por la UI), mostrar pantallas superpuestas (overlays opacos) que ocultan la actividad maliciosa y capturar lo que se muestra en pantalla.
• Pantallas de superposición (overlays) fraudulentas: crea formularios falsos sobre aplicaciones bancarias o wallets para capturar credenciales y tokens introducidos por el usuario.
• Robo de 2FA por SMS: intercepta y lee códigos de autenticación de dos factores que llegan por SMS para completarlos automáticamente.
• Captura y exfiltración de contenido de pantalla: intercepta y registra el contenido renderizado para exfiltración o uso en fraudes en vivo.
• Escalada de permisos / persistencia: solicita permisos adicionales (acceso a notificaciones, accesibilidad, instalación desde fuentes desconocidas) y puede descargar e instalar APKs remotos.
• Extracción de PIN/Patrón de bloqueo: intenta capturar o inferir el PIN o patrón del bloqueo de pantalla.
• Instalación remota de APKs: posibilita la instalación de módulos adicionales o actualizaciones maliciosas desde servidores controlados por los operadores.
• Humanización de la interacción: introduce retrasos aleatorios en las acciones automatizadas (por ejemplo, al escribir texto) para imitar la velocidad humana y evadir detección basada en ritmos de entrada mecánicos. Los retrasos reportados oscilan entre 300 ms y 3000 ms (0,3–3 s) entre eventos de entrada.
• Persistencia en sesiones en vivo: diseñado para permanecer activo durante sesiones en vivo y no limitarse a robar credenciales estáticas; esto facilita secuestros de sesión y fraude transaccional en tiempo real.

Objetivos y Expansión

Aunque las campañas documentadas inicialmente se enfocaron en Italia y Brasil, análisis del malware y páginas de overlay recuperadas muestran intentos y variantes dirigidas a entidades financieras en Estados Unidos, Turquía, Reino Unido y Polonia, además de objetivos relacionados con wallets y exchanges de criptomonedas. Esto indica intención y capacidad de los operadores para ampliar el alcance geográfico y objetivo funcional (banca, criptos, servicios financieros).

Técnicas de evasión

• Randomización de timings para emular comportamiento humano.
• Ofuscación del código y nombres poco reveladores en strings y recursos (p. ej. referencias parciales a familias previas para camuflar procedencia).
• Uso de droppers con apariencia legítima y permisos solicitados de forma gradual para evitar rechazos inmediatos.
• Actualizaciones dinámicas (descarga de módulos desde C2) para cambiar comportamientos y dificultar la detección por firmas estáticas.
• Paquetes con nombres sospechosos/imitadores como com.cd3.app o variantes que simulan navegadores y utilidades.
• Solicitudes repetidas de accesibilidad, acceso a notificaciones y permiso para instalación desde orígenes desconocidos.
• Aparición de overlays opacos sobre apps financieras; ventanas superpuestas que solicitan credenciales.
• Tráfico de red saliente hacia dominios de C2 tras la instalación o ejecución inicial (URLs/IPs específicas encontradas en análisis).
• Cambios en la configuración de accesibilidad y aumento repentino de apps con permisos de accesibilidad.
• Comportamiento de entrada con patrones de escritura intermitente y retrasos uniformes aleatorizados (indicador heurístico cuando se correlaciona con otros elementos).
• Descarga e instalación de APKs desde servidores no oficiales tras la interacción del usuario.

Herodotus está diseñado para tomar control activo del dispositivo (DTO): más allá del robo de credenciales, el atacante busca operar en sesiones reales, completar 2FA automáticamente, transferir fondos o realizar operaciones fraudulentas aprovechando el control directo sobre la UI del dispositivo. Esto eleva el riesgo de fraudes en tiempo real y reduce la eficacia de contramedidas basadas únicamente en bloqueo de credenciales.

Soluciones, prevenciones y mitigaciones ofrecidas por Sophos

A continuación, se describen capacidades y controles prácticos, aplicables con tecnologías y servicios de Sophos, para prevenir, detectar y responder ante amenazas tipo Herodotus en entornos corporativos que gestionen dispositivos Android:

Sophos Mobile (MDM / MAM)

• Restricción de instalación: políticas que impiden la instalación de apps desde orígenes desconocidos y control de sideloading.
• Gestión de permisos: capacidad para bloquear o revocar permisos sensibles (accesibilidad, acceso a notificaciones, instalación de apps) para apps no aprobadas.
• Listas blancas y control de aplicaciones: permitir únicamente aplicaciones verificadas en dispositivos corporativos y bloquear paquetes sospechosos por nombre o firma.
• Acciones remotas: cuarentena o borrado remoto de dispositivos comprometidos, o reinstalación forzada de imágenes limpias.

Sophos Intercept X for Mobile (o capacidades de protección móvil integradas)

• Detección de comportamiento malicioso en apps móviles: detección de técnicas de overlay, intentos de escalada de permisos o acciones típicas de trojanos bancarios.
• Prevención de explotación y endurecimiento: bloqueo de técnicos de explotación en runtime y de técnicas de persistencia detectadas.
• Protección contra apps repackaged/ofuscadas: heurísticas que identifican apps reempaquetadas con comportamiento sospechoso.

Sophos XDR (Extended Detection and Response)

• Correlación de eventos móviles y red: integración de telemetría móvil, endpoints y firewall para correlacionar instalación de app + cambios de permiso + tráfico saliente a C2 y generar alertas de alto riesgo.
• Hunting y enriquecimiento: búsquedas proactivas para identificar despliegues de APK, patrones de overlay y señales de DTO; priorización automática de incidentes por impacto.

Sophos MDR (Managed Detection and Response)

• Monitoreo 24/7 y análisis experto: caza de amenazas y validación humana de alertas móviles complejas, con capacidad para determinar presencia de troyanos bancarios y coordinar remediación.
• Playbooks de respuesta rápida: contención, remediación y soporte forense para aislar dispositivos y orquestar acciones de recuperación.

Sophos Firewall

• Inspección de tráfico y bloqueo de C2: bloquea comunicaciones hacia dominios e IPs maliciosos detectados en campañas de Herodotus y evita exfiltración de datos desde dispositivos conectados a la red.
• Segmentación de red: limitar el acceso de dispositivos móviles a segmentos sensibles (por ejemplo, redes que contienen servicios financieros internos) para mitigar impacto de DTOs.

Sophos Central (gestión unificada)

• Orquestación y automatización: creación de flujos automáticos que, ante la detección de actividad sospechosa (instalación de app, permisos concedidos), apliquen cuarentenas, revocación de acceso y envío de muestras a análisis.
• Políticas centralizadas: aplicar reglas de seguridad consistentes en todos los dispositivos y sincronizar acciones entre Intercept X, Mobile y Firewall.

Control de correo y web — Sophos Email / Sophos Web

• Protección contra SMiShing y phishing: filtrar enlaces y archivos entregados por correo; reputación y análisis de URLs para bloquear landing pages que distribuyen droppers.
• Bloqueo y sandboxing de enlaces maliciosos que lleven a APKs de droppers.