Um trojan móvel recém-identificado, apelidado de Herodotus, está sendo distribuído principalmente por meio de lojas alternativas e canais de sideload, e se destaca pela habilidade de escapar de controles de segurança tradicionais antes de ativar suas rotinas de roubo de dados. O aplicativo se disfarça de utilitário legítimo, como atualizador ou assistente de sistema, para reduzir suspeitas. Ao ser instalado, o Herodotus verifica o ambiente e congela sinais de análise automática: oculta o ícone, interrompe a execução em sandboxes e ativa rotinas que detectam se o aparelho está em modo de teste. Depois dessas checagens ele baixa módulos adicionais que ampliam suas capacidades conforme o perfil da vítima.
A técnica principal empregada pelo malware é o abuso de serviços de acessibilidade, que permitem automação de telas e preenchimento de campos. Com essa permissão o trojan consegue ler notificações, interceptar códigos SMS, capturar telas de apps bancários e enviar comandos que simulam interação humana, tudo sem exigir que a vítima abra o app malicioso novamente. Herodotus também atua como um dropper: além do módulo de acessibilidade, instala plugins que gravam áudio, coletam contatos, listam apps instalados e exfiltram arquivos sensíveis. As comunicações com os servidores de comando e controle são feitas por canais cifrados e o painel do operador permite entregar payloads sob demanda, customizando ataques para cada usuário.
Operadores usam versões “limpas” para publicar o app em locais menos vigiados, depois fazem atualização remota para a variante maliciosa, dificultando a detecção por controles de lojas alternativas. Esse ciclo de evolução rápida permite campanhas massivas via redes sociais, grupos de mensagens e anúncios enganadores. O impacto para vítimas inclui roubo financeiro direto, perda de contas, exposição de dados pessoais e possível uso do dispositivo como pivot para atingir redes corporativas quando o smartphone está ligado a VPNs ou autentica acessos.
