Vírus "finge ser humano" para enganar seu banco; conheça o Herodotus

A descoberta de um novo malware para Android acendeu um alerta vermelho no Brasil. Chamado de Herodotus, o software malicioso gerou preocupação por ser capaz de imitar o comportamento humano para enganar sistemas de segurança bancários.

• Brasil é segundo maior alvo de novo vírus que rouba contas do Telegram
• Empresas desistem de pagar resgate em ataques de ransonware; entenda por que

Identificado pela empresa de cibersegurança Threat Fabric, o malware consegue se passar por uma pessoa de verdade ao imitar a digitação humana. Para isso, ele simula toques do simples ato de digitar ao incluir pausas no processo, evitando ser detectado por métodos de verificação.

De acordo com os pesquisadores, as ações do vírus foram observadas na Itália e no Brasil, o que representa uma preocupação no que diz respeito às fraudes bancárias no nosso país, já que o malware serve como porta de entrada para o início de golpes financeiros.

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

WhatsApp

Como o malware Herodotus age?

Distribuído como um Malware-as-a-Service (MaaS), estando à venda ou disponível para contratação como em um aluguel, o Herodotus, assim como outros trojans bancários, tem como grande alvo contas e aplicativos de bancos. A diferença é a maneira como ele age.

A Threat Fabric detalha que o golpe começa com um SMiShing, um tipo de fraude digital que engana usuários por mensagens de texto ou SMS com links maliciosos.

Talvez você, ou algum conhecido, já tenha recebido alguma mensagem aparentemente inofensiva de um banco ou serviço de entrega com um link que também parece legítimo. Contudo, essa é a estratégia preferida dos criminosos durante o SMiShing, algo que o Herodotus também aposta.

O que acontece é que, assim que o usuário clica no link, o novo malware leva a vítima para baixar um dropper, um instalador nocivo que se camufla por trás de um aplicativo que parece verdadeiro.

É esse dropper que instala o Herodotus diretamente no aparelho Android, abrindo espaço para que o malware faça o que bem quiser. Isso porque o software consegue obter acesso completo do aparelho por meio de permissões de acessibilidade: enquanto uma tela falsa de “carregamento” permanece na tela, a real ação acontece em segundo plano, com o vírus acessando a todos os aplicativos no sistema, sobretudo os de bancos.

Difícil de ser detectado

O que deixou os especialistas boquiabertos com o modus operandi do Herodotus foi justamente a maneira como ele imita o comportamento humano, o que o torna mais difícil de ser detectado.

Imagine que você vai digitar uma senha qualquer no seu celular agora. Pode ser que, independentemente do motivo, dê aquele famoso “branco”, fazendo você esquecer um elemento crucial dela. Ou, em outro cenário, você está digitando e para um momento para espirrar.

São essas pausas, uma característica humana que nem ao menos é percebida por nós durante o ato em questão, que transformam o Herodotus em um perigo preocupante em termos de segurança digital. Afinal, o malware imita esse comportamento colocando atrasos aleatórios de 0,3 a 3 segundos a cada tecla pressionada para fingir “ser uma pessoa”, algo que não ocorre em softwares maliciosos mais antigos.

Geralmente, bancos costumam usar sistemas antifraude que detectam atividades suspeitas com base nos padrões de comportamento do usuário. É dessa forma que padrões de cliques instantâneos, por exemplo, são bloqueados por serem identificados pelo sistema como um malware.

Com o Herodotus, isso fica mais difícil de acontecer, pois, ao fingir tão bem o comportamento humano, o vírus acaba passando despercebido pelos sistemas comportamentais dos bancos, que identificam o malware apenas como um humano comum.

Como se proteger do novo malware?

O Herodotus pode assustar e parecer imbatível à primeira vista, mas é possível se proteger do malware com algumas atitudes simples. A principal delas é não instalar qualquer tipo de aplicativo que não esteja dentro da Google Play Store.

Outra dica é manter um sinal de alerta para mensagens de texto ou SMS que contenham links. Afinal, não é prática de bancos e empresas enviar links por SMS para clientes solicitando informações ou qualquer tipo de assunto que envolva dinheiro.

Também vale prestar atenção nas permissões de acessibilidade do aparelho Android, jamais autorizando o acesso de aplicativos ou sites que você não tenha conhecimento.

Leia também:

• "Rede fantasma" do YouTube tem mais de 3.000 vídeos que espalham vírus; conheça
• Golpe do "compartilhamento de tela" usa WhatsApp para roubar senhas ao vivo
• Falso navegador "privado" é malware que espiona tudo que você faz; proteja-se

Fonte: Security Affairs