Um novo Trojan bancário Android chamado Heródoto surgiu recentemente. Ele é oferecido como Malware-as-a-Service (MaaS) e finge ser um aplicativo legítimo para induzir os usuários a instalar um APK. Após a instalação, ele solicita permissões confidenciais e pode controlar o dispositivo para transações bancárias. Um ataque móvel moderno, mais uma vez, em grande parte invisível para a maioria das soluções antivírus tradicionais.
Heródoto em resumo:
O trojan bancário Espalha por meio de links de phishing por SMS que levam os usuários a uma página falsa onde são solicitados a baixar um aplicativo. A vítima instala um APK que não é da Play Store.
Heródoto, uma vez instalado e com permissões, pede permissões críticas como Acessibilidade. Ele sobrepõe telas falsas em aplicativos reais para enganar os usuários e pode capturar telas e pressionamentos de tecla para assumir o controle da sessão enquanto a vítima está conectada.
Heródoto evita a detecção por sistemas antifraude adicionando atrasos aleatórios, movimentos sutis e padrões de digitação realistas às suas ações.
Por que um antivírus não é suficiente:
A equipe do Pradeo verificou se havia malware em um dos principais bancos de dados de antivírus, mas nenhum alerta foi acionado para o aplicativo. Isso significa que o antivírus não detectou o aplicativo malicioso, apesar de ser facilmente encontrado por meio de uma simples pesquisa engine.
As soluções antivírus dependem principalmente de assinaturas conhecidas e comportamentos anteriores. Aplicativos maliciosos de phishing por SMS, instalados fora da Play Store, podem evitar a detecção, especialmente se seu código for novo e ações prejudiciais forem ativadas após a instalação com permissões concedidas.
A detecção eficaz depende da conexão de vários indicadores de comprometimento: um link SMS suspeito de uma fonte desconhecida, instalações de fora da loja de aplicativos, solicitações de permissão críticas e sinais visíveis, como sobreposições de tela, interações falsas ou capturas de tela.
Individualmente, esses sinais podem parecer inofensivos, mas juntos e em sua sequência, eles revelam claramente um ataque em andamento que um antivírus pode facilmente perder.
Como o Pradeo Mobile Threat Defense bloqueia o ataque:
Ao contrário de um antivírus, uma solução Mobile Threat Defense (MTD) observa o comportamento real do dispositivo e atua em todas as etapas da cadeia de ataque:
Bloqueio de links de phishing:
Graças ao módulo anti-phishing integrado ao aplicativo Pradeo Security, o acesso à página maliciosa é impedido diretamente. O usuário nunca acessa a página de download e, portanto, não pode recuperar o APK.
Prevenção de instalações de risco:
O Pradeo Mobile Threat Defense detecta que um aplicativo se origina de uma fonte desconhecida e alerta imediatamente a equipe de segurança para evitar possíveis comprometimentos.
Monitoramento de permissões e comportamentos:
Quando um aplicativo solicita permissões críticas (como acessibilidade), o Pradeo Mobile Threat Defense o sinaliza como potencialmente malicioso e o coloca em quarentena, impedindo qualquer controle do dispositivo ou ações intrusivas.
Nossa solução também monitora os comportamentos da interface do usuário e do sistema (sobreposições, toques simulados, atividade anormal da rede). Ao primeiro sinal de uma sobreposição maliciosa, o acesso a aplicativos confidenciais é imediatamente bloqueado.
O caso Heródoto ilustra claramente que as soluções antivírus não são adequadas para ameaças móveis modernas, que combinam engenharia social, instalações fora da loja e abuso de permissões confidenciais.
Para proteger efetivamente os colaboradores e os dados corporativos, a implantação de uma solução de Defesa contra Ameaças Móveis (MTD) agora é essencial.