Investigadores han identificado una nueva familia de troyanos bancarios para Android llamada Herodotus, que ya está activa en campañas contra usuarios en Italia y Brasil y busca tomar el control del dispositivo (DTO — device takeover).
Herodotus se comercializa en foros clandestinos desde el 7 de septiembre de 2025 como malware-como-servicio (MaaS) y puede operar en dispositivos con Android 9 a 16. Aunque comparte técnicas y algunos fragmentos de código con el conocido malware Brokewell, no parece ser una simple evolución directa: sus desarrolladores han tomado lo que les sirve y lo han combinado en una nueva amenaza.
Al igual que muchas familias de malware móviles, Herodotus abusa del servicio de accesibilidad para interactuar con la pantalla, mostrar pantallas superpuestas que ocultan la actividad maliciosa y presentar formularios falsos sobre apps financieras para robar credenciales. Además, puede interceptar códigos 2FA por SMS, registrar todo lo que se muestra en pantalla, capturar el PIN o patrón de bloqueo y descargar APKs remotos con permisos elevados.
La característica que más preocupa es su capacidad para simular comportamiento humano: el troyano puede introducir retardos aleatorios al escribir en pantalla (entre 300 y 3000 ms), imitando la velocidad y variabilidad de la escritura humana para evadir soluciones antifraude basadas en biometría de comportamiento o detección por timing. Esta “humanización” dificulta distinguir entre la entrada legítima del usuario y la actividad automatizada del malware.
ThreatFabric también halló páginas de superposición (overlays) dirigidas a entidades financieras en Estados Unidos, Turquía, Reino Unido y Polonia, además de objetivos en exchanges y billeteras de criptomonedas. Según los investigadores, Herodotus está en desarrollo activo, persistiendo dentro de sesiones reales para realizar secuestros de cuentas en lugar de limitarse a robar credenciales estáticas.
Security researchers have uncovered a new Android banking trojan called Herodotus, currently used in active campaigns against victims in Italy and Brazil to perform device takeover (DTO) attacks.
First advertised on underground forums on September 7, 2025, as malware-as-a-service (MaaS), Herodotus targets devices running Android 9 through 16. While it borrows some obfuscation techniques and code snippets from the Brokewell family, it’s a distinct strain that blends proven tricks with new capabilities.
The trojan abuses Android’s accessibility services to control the screen, deploy invisible overlay pages that mask malicious actions, and present fake login dialogs over banking apps to harvest credentials. It can also intercept SMS-based 2FA codes, capture whatever is shown on screen, steal lockscreen PINs or patterns, grant itself extra permissions, and install remote APKs.
What sets Herodotus apart is its focus on mimicking human behavior: it can add randomized typing delays (roughly 300–3,000 ms) when entering text, matching human timing patterns and helping it slip past behavioral anti-fraud detectors that flag machine-speed input. This tactic increases its ability to persist in live sessions and perform full account takeovers rather than merely stealing static credentials.
ThreatFabric’s analysis found overlay pages aimed at banks and crypto services in the U.S., Turkey, U.K., and Poland — a sign the operators are expanding their target list. The malware is under active development and appears designed to remain inside active sessions to carry out account hijacking operations.
El pentesting o Test de penetración, en español) es una técnica de ciberseguridad que consistente en atacar entornos informáticos con la intención de descubrir vulnerabilidades en los mismos, con el objetivo de reunir la información necesaria para poder prevenir en el futuro ataques externos hacia esos mismos …
El Servicio de Seguridad en Ciclo de Desarrollo es un enfoque integral que garantiza la protección de los proyectos de software desde su fase inicial de diseño hasta su implementación final. Esto implica integrar medidas de seguridad en cada etapa del proceso de desarrollo, desde la planificación hasta la entrega del producto. La importancia de este servicio radica en varios aspectos:
En resumen, el Servicio de Seguridad en Ciclo de Desarrollo es esencial para garantizar que los productos de software sean seguros, confiables y cumplan con los estándares de seguridad y privacidad, lo que resulta en beneficios tanto para la empresa como para sus clientes.
El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.
Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/
Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.
La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:
La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.
