Di tanto in tanto in Rete un gruppo di ricercatori di sicurezza lancia un allarme per la scoperta di un nuovo malware che mette in pericolo gli utenti Android e ciò è quanto è avvenuto anche nelle scorse ore.
Gli analisti di ThreatFabric, infatti, hanno reso noto di avere scoperto un nuovo malware bancario chiamato Herodotus, che è in grado di eludere il rilevamento imitando il comportamento umano quando controlla da remoto i dispositivi che sono stati infettati.
Come funziona il malware Herodotus
Questo malware, creato da uno sviluppatore chiamato K1R0, può assumere il pieno controllo del telefono della vittima per rubare denaro da applicazioni bancarie e conti online.
Purtroppo pare che vi siano al momento campagne attive che utilizzano il malware anche in Italia oltre che in Brasile. Per quanto riguarda il nostro Paese, a dire dei ricercatori di sicurezza si è camuffato in un’app chiamata Banca Sicura.
Secondo lo staff di ThreatFabric, il malware in questione è ancora in una fase di sviluppo attiva ed è probabile che Herodotus si evolva ulteriormente e venga ampiamente utilizzato in campagne globali.
Per quanto riguarda il funzionamento di Herodotus, è simile a quello di molti moderni trojan bancari per Android: viene distribuito tramite messaggi SMS che inducono gli utenti a scaricare un programma di installazione dannoso e, una volta installato, il malware attende l’apertura dell’app “vittima” e poi sovrappone una schermata falsa che imita la vera interfaccia bancaria o di pagamento, in modo da rubare le credenziali (è anche in grado di intercettare i messaggi SMS in arrivo per acquisire codici di accesso monouso, sfruttando le funzionalità di accessibilità di Android per leggere ciò che viene visualizzato sullo schermo del dispositivo).
Ciò che rende molto particolare Herodotus è il tentativo di “umanizzare” le azioni eseguite dagli aggressori durante il controllo remoto, in quanto invece di incollare i dettagli dell’account o della transazione nei campi del modulo tutti in una volta (cosa che può essere facilmente contrassegnata come automatizzata), il malware digita ogni carattere separatamente con pause casuali per la pressione dei tasti (da 0,3 a 3 secondi), imitando il modo in cui digiterebbe una persona reale.
Per ulteriori informazioni su questo malware vi rimandiamo all’articolo pubblicato da ThreatFabric.