Il nuovo malware bancario simula il comportamento umano per aggirare i sistemi antifrode e colpisce utenti in Italia e Brasile
Il panorama della cybersecurity italiana affronta una minaccia senza precedenti. Herodotus, un sofisticato trojan bancario per Android scoperto dai ricercatori di ThreatFabric, sta rivoluzionando gli attacchi mobile introducendo capacità di imitazione del comportamento umano che sfidano i tradizionali sistemi di sicurezza bancaria. Le prime campagne attive sono state rilevate in Italia e Brasile, ma gli indizi indicano una rapida espansione internazionale verso Stati Uniti, Turchia, Regno Unito e Polonia.
L’Innovazione Pericolosa: Quando il Malware Diventa Umano
Ciò che rende Herodotus particolarmente insidioso è la sua capacità di simulare l’interazione umana con il dispositivo. Invece di compilare i campi istantaneamente come fanno i tradizionali malware, questo trojan suddivide il testo in singoli caratteri e inserisce ritardi casuali tra 300 e 3.000 millisecondi per ogni “pressione” facendolo sembrare un comportamento insospettabilmente “umano”. Il risultato è un profilo di interazione che appare realistico ai motori antifrode comportamentali, rendendo estremamente difficile distinguere le azioni automatizzate da quelle di un utente reale.
Dal 7 settembre 2025, Herodotus è commercializzato nei forum underground come servizio MaaS (Malware-as-a-Service) dal developer K1R0, offrendo compatibilità con dispositivi Android dalla versione 9 alla 16. Questo modello criminale permette anche ai cybercriminali meno esperti di accedere a strumenti altamente sofisticati, amplificando il potenziale di diffusione.
Come Agisce Herodotus?
L’infezione avviene principalmente tramite campagne di smishing: SMS fraudolenti inducono le vittime a scaricare app dropper camuffate da Google Chrome o, nel caso italiano, da “Banca Sicura”. Una volta installato, il malware sfrutta i servizi di accessibilità di Android per ottenere permessi estesi, mostrando schermate di caricamento fasulle per nascondere le operazioni in background.
Le capacità operative di Herodotus sono impressionanti:
- Controllo remoto totale del dispositivo con tap, swipe e input testuali
- Intercettazione di codici 2FA ricevuti via SMS
- Overlay di login fasulli sovrapposti alle app bancarie reali
- Screen recording e keylogging per catturare tutto ciò che appare a schermo
- Acquisizione di PIN o pattern di blocco schermo
- Installazione remota di nuovi file APK
- Ottenimento autonomo di permessi aggiuntivi
L’analisi del codice rivela affinità con la famiglia Brokewell, altro noto malware bancario, suggerendo che gli sviluppatori abbiano evoluto tecniche già collaudate per creare una minaccia ancora più sofisticata.
L’Impatto in Italia e la Dimensione Globale
In Italia, Herodotus si presenta attraverso app che imitano servizi bancari legittimi, sfruttando la fiducia degli utenti nelle istituzioni finanziarie. La scelta di utilizzare nomi come “Banca Sicura” mira a trasformare paradossalmente la crescente consapevolezza sulla sicurezza digitale in un vettore di attacco.
Il trojan non si limita ad imitare le banche tradizionali: ha già preso di mira portafogli e servizi di criptovalute, dimostrando una strategia criminale ben orchestrata. L’obiettivo non è solo il furto di credenziali statiche, ma il mantenimento della persistenza durante sessioni attive per eseguire transazioni fraudolente “come se” fosse l’utente legittimo.
Strategie di Difesa: Un Approccio Multilivello
Per difendersi da minacce come Herodotus servono buone abitudini digitali — e sistemi di sicurezza aggiornati.
Ecco alcune pratiche di base da ricordare:
- scaricare app solo da fonti ufficiali,
- mantenere aggiornato il sistema operativo,
- usare autenticazioni a due fattori più solide dell’SMS,
- evitare di concedere permessi non necessari.
Ma queste misure da sole non bastano più.
Oggi le aziende e gli utenti devono affrontare minacce che evolvono più in fretta dei controlli standard.
Prospettive Future e Conclusioni
I nuovi trojan come Herodotus dimostrano che la sicurezza non è più solo una questione tecnica, ma strategica.
Con 3tech puoi valutare la solidità dei tuoi sistemi e implementare misure di protezione realmente efficaci — dalla gestione dei dispositivi mobili ai controlli antifrode avanzati.
Scopri come 3tech aiuta le imprese italiane a prevenire, rilevare e bloccare minacce come Herodotus.
