No mundo da cibersegurança, a batalha contra o malware é uma corrida armamentista constante. As defesas tornam-se mais inteligentes, mas os atacantes também. E agora, surge uma nova e perturbadora ameaça no ecossistema Android que eleva o nível de sofisticação do engano: uma família de malware apelidada de Herodotus, que é capaz de simular a escrita humana para passar despercebida aos sistemas de deteção automática.
Esta nova ameaça não é apenas um vírus qualquer; é oferecida como um serviço (Malware-as-a-Service – MaaS), o que significa que os criminosos podem “alugar” as suas capacidades para lançar ataques mais sofisticados. Embora ainda esteja em desenvolvimento, já foi detetado em campanhas direcionadas a utilizadores em Itália e no Brasil, provando que a sua eficácia já está a ser testada no terreno.
O ataque: um engodo para roubar permissões críticas
O método de infeção começa de forma clássica e traiçoeira: através de mensagens SMS maliciosas (smishing). O utilizador recebe uma mensagem que parece legítima, mas que contém um link para instalar um dropper personalizado. Este dropper é o primeiro passo, e é aqui que a sua tática se torna mais perigosa.
O seu objetivo é obter os controlos mais sensíveis do teu smartphone. O dropper abre as definições de Acessibilidade do Android e pede-te permissão para ativar um serviço, tudo isto enquanto exibe um ecrã falso de “carregamento” ou outra sobreposição inofensiva. O truque é que, enquanto estás distraído com aquela janela falsa, o malware está a pedir e a obter as permissões de Acessibilidade, que lhe dão um poder quase total sobre o teu dispositivo.
A simulação humana: o disfarce do Herodotus
A capacidade que dá nome a esta ameaça – simular a escrita “à humano” – é o que a torna particularmente insidiosa contra os sistemas de segurança modernos.
Ao contrário de bots mais antigos que escrevem texto instantaneamente e de forma robótica (o que os sistemas de deteção conseguem identificar facilmente), o Herodotus inclui um sistema que adiciona atrasos aleatórios de 0.3 a 3 segundos entre a digitação de cada letra. Esta é uma simulação subtil do ritmo natural da escrita humana, desenhada especificamente para enganar os sistemas de segurança baseados em padrões de interação.
Com as permissões de Acessibilidade concedidas, o malware passa a controlar a interface do teu smartphone como se fosse um fantasma a usar os teus dedos. Ele pode tocar em coordenadas no ecrã, executar gestos de deslize e, o mais perigoso, injetar texto no teu clipboard ou escrever diretamente no teclado.
O que o Herodotus quer roubar?
Com o controlo sobre a interface e a capacidade de espiar o teu ecrã, o Herodotus tem vários objetivos claros, todos eles focados no roubo de informação sensível:
- Roubo de Credenciais: O malware pode criar sobreposições falsas que imitam as janelas de login de aplicações bancárias ou de criptomoedas, apanhando as tuas palavras-passe e credenciais de acesso.
- Interceptação de 2FA: A capacidade de ler e roubar os teus SMS permite aos atacantes intercetar códigos de autenticação de dois fatores, contornando uma das tuas principais defesas de segurança.
- Espionagem Contínua: O controlo sobre a interface permite-lhe fazer capturas de ecrã em momentos chave, revelando o que estás a ver ou a digitar.
A preocupação com o ecossistema Android
O facto de esta ameaça ter sido reportada em diferentes subdomínios indica que já está a ser usada por múltiplos grupos criminosos, o que demonstra a sua eficácia e a sua rápida disseminação no mercado de malware-as-a-service.
Isto coloca uma pressão acrescida sobre a própria Google e sobre a segurança do Android. Embora o sistema já possua defesas como o Play Protect, a capacidade deste malware de manipular as permissões de Acessibilidade – que são, por natureza, muito permissivas para permitir que apps de ajuda funcionem – cria uma brecha significativa na segurança.
A lição que deves retirar é clara: a tua segurança não pode depender apenas das ferramentas automáticas do teu smartphone. É essencial que estejas atento. Evita instalar ficheiros APK de fontes desconhecidas e, sobretudo, verifica sempre as permissões que concedes às aplicações, especialmente o acesso à Acessibilidade. É um poder demasiado grande para ser entregue a qualquer aplicação sem uma total confiança na sua origem.
Outros artigos interessantes:
