Novo trojan bancário “Herodotus” engana sistemas biométricos e toma controle total de celulares

Um novo trojan bancário identificado no Brasil está preocupando especialistas em segurança digital. Chamado de Herodotus, o malware consegue imitar comportamentos humanos para burlar sistemas biométricos e tomar o controle total de dispositivos Android, permitindo o roubo de dinheiro diretamente das contas das vítimas.

A descoberta foi feita pela empresa de cibersegurança ThreatFabric, que classifica o Herodotus como um dos malwares mais sofisticados em circulação no país. A campanha está sendo distribuída via SMiShing — golpes por SMS com links maliciosos — que se disfarçam de mensagens legítimas de bancos e empresas de pagamento.

Um malware que pensa (e age) como um humano

O diferencial do Herodotus é a capacidade de simular o comportamento humano durante o uso do celular.
Ele consegue reproduzir pausas, hesitações e até erros comuns na digitação — como apagar e reescrever uma senha.
Esses pequenos detalhes são o suficiente para enganar sistemas de detecção automatizados e barreiras biométricas, que normalmente bloqueiam atividades suspeitas.

Além disso, o Herodotus pertence à categoria Device-Takeover, ou seja, tem poder para assumir completamente o controle do dispositivo infectado. Isso permite que os criminosos façam transações financeiras, abram aplicativos e executem ações remotamente, como se fossem o próprio dono do aparelho.

O cibercrime como serviço

O Herodotus não está limitado ao Brasil. Ele também foi identificado na Itália e está sendo oferecido em fóruns clandestinos como um Malware-as-a-Service (MaaS) — um modelo de “assinatura de crime digital”, em que hackers alugam o software pronto para aplicar golpes.

Segundo a ThreatFabric, o malware é vendido por um agente conhecido como “K1RO” e oferece funcionalidades completas, como:

• Cliques automáticos em pontos específicos da tela;

• Execução de comandos globais (Voltar, Home, Recentes);

• Inserção automática de texto e swipes;

• Controle remoto total do aparelho.

A análise técnica mostra que o Herodotus compartilha partes de código com outro malware, o Brokewell, descoberto em 2024 — o que indica uma evolução modular e altamente personalizada.

Como o trojan se instala no dispositivo

A infecção começa com mensagens SMS falsas, que usam nomes de empresas conhecidas para parecerem legítimas.
No Brasil, o golpe se apresenta como “Módulo de Segurança Stone”, enquanto na Itália, aparece como “Banca Sicura”.
Ao clicar no link, o usuário baixa um dropper, um aplicativo disfarçado que instala o vírus principal.

Esse dropper consegue driblar as proteções do Android 13 e superiores, explorando brechas no Serviço de Acessibilidade.
Durante a instalação, uma tela falsa de “processamento” é exibida, enquanto o malware ativa permissões críticas e se torna invisível ao usuário.

O teatro das telas falsas

Com o acesso liberado, o Herodotus escaneia todos os aplicativos do dispositivo e envia a lista para o servidor C2 (Command and Control).
A partir daí, o servidor retorna páginas falsas que imitam os apps bancários instalados no celular.
Quando o usuário abre seu aplicativo real do banco, o Herodotus sobrepõe uma tela falsa, capturando as credenciais digitadas.

Além disso, o trojan intercepta SMS com códigos de autenticação em dois fatores (2FA), tornando a proteção via SMS praticamente inútil.

Por que o nome “Herodotus”?

O nome é uma referência a Heródoto, o historiador grego conhecido como “pai da história”.
Assim como o historiador, o malware “escreve” sua própria narrativa, falsificando o que o usuário vê e transformando cada ação em uma ilusão cuidadosamente construída.

Como se proteger

Apesar da sofisticação do Herodotus, é possível evitar a infecção com boas práticas de segurança digital:

1. Baixe aplicativos apenas da Google Play Store. Nunca instale arquivos APK enviados por mensagem ou baixados de sites externos.

2. Desconfie de SMS com links. Nenhum banco envia mensagens pedindo instalação de apps ou módulos de segurança.

3. Não ative o Serviço de Acessibilidade para aplicativos desconhecidos. Essa permissão concede controle total ao sistema.

4. Evite autenticação por SMS. Prefira aplicativos autenticadores como Google Authenticator, Authy ou Microsoft Authenticator.

5. Use um gerenciador de senhas para criar combinações fortes e únicas.

6. Mantenha um antivírus ativo e atualizado no dispositivo.

O caso do Herodotus mostra como os golpes digitais no Brasil estão evoluindo rapidamente, explorando a confiança e o comportamento humano como principal vetor de ataque. A melhor defesa, no fim das contas, continua sendo a consciência digital e a prudência com links e aplicativos suspeitos.