- El malware Herodotus imita la escritura humana para evitar la detección antivirus basada en el tiempo
- Se propaga a través de phishing por SMS, se instala silenciosamente mediante pantallas falsas y omisión de permisos.
- Los investigadores instan a los usuarios de Android a utilizar Play Protect y evitar fuentes de aplicaciones no oficiales
Una de las formas en que los programas antivirus móviles detectan actividad maliciosa es mediante la denominada detección “basada en el tiempo”.
Cuando el malware quiere otorgarse varios permisos de Android, descargar aplicaciones o realizar otras acciones (como tocar, deslizar el dedo o desplazarse), lo hace de forma automatizada y robótica, a diferencia de los humanos, que normalmente tienen intervalos desiguales y pausas diferentes.
Los programas antivirus pueden identificar estos patrones de comportamiento inusuales y detectar malware potencial a través de ellos. Pero no con Heródoto.
heródoto
Los investigadores de seguridad Threat Fabric descubrieron recientemente un nuevo malware para Android que lleva el nombre del famoso historiador griego, que incluye un mecanismo “humanista” para la entrada de texto.
Ese proceso crea un retraso aleatorio en la actividad de entre 0,3 y 3 segundos, similar a lo que escribiría un humano real.
“Tal aleatorización del retraso entre los eventos de entrada de texto se alinea con la forma en que un usuario ingresaría texto”, dijo Threat Fabric en su informe. “Al retrasar deliberadamente la entrada a intervalos aleatorios, los actores probablemente estén tratando de evitar la detección mediante soluciones anti-trampas de comportamiento de detección de movimiento similares a máquinas”.
Actualmente, Herodotus se ofrece a los ciberdelincuentes como malware como servicio (MaaS) y, aunque todavía está en desarrollo, también se encuentra en uso activo.
Algunos usuarios de Android italianos y brasileños ya estaban infectados, advirtió Threat Fabric, y el ataque comenzó a través de SMS phishing (smishing).
En el SMS, la víctima recibe un enlace a un cuentagotas personalizado que instala la carga útil inicial e intenta eludir las restricciones de permisos de accesibilidad. Si tiene éxito, muestra a la víctima una pantalla de carga falsa mientras instala el malware en segundo plano.
Los investigadores dicen que múltiples actores de amenazas están utilizando actualmente los servicios de Herodotus y están instando a los usuarios de Android a descargar sólo aplicaciones de fuentes confiables (por ejemplo, Play Store). Además, instan a los usuarios a habilitar Play Protect y revocar permisos riesgosos para aplicaciones recién instaladas.
a través de Computadora pitando
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Obtenga nuestras noticias, reseñas y opiniones de expertos en su feed. ¡No olvides hacer clic en el botón de seguir!
Y por supuesto que puedes Siga TechRadar en TikTok Reciba nuestras actualizaciones periódicas en forma de noticias, reseñas, unboxing y videos. WhatsApp muy
