CibersegurançaNotícias

Malware Herodotus para Android engana antivírus no Brasil

Escrito por
Jardeson Márcio
Imagem do autor do SempreUpdate Jardeson Márcio
PorJardeson Márcio
Jardeson Márcio é Jornalista e Mestre em Tecnologia Agroalimentar pela Universidade Federal da Paraíba. Com 8 anos de experiência escrevendo no SempreUpdate, Jardeson é um especialista...
Follow:
Imagem do Android vermelha

Um novo malware para Android, batizado de Herodotus, está chamando a atenção de especialistas em segurança por sua capacidade assustadora de imitar o comportamento humano. A ameaça, identificada pela empresa de cibersegurança Threat Fabric, está mirando usuários brasileiros e utiliza uma técnica inédita para burlar sistemas antifraude bancários, digitando lentamente — como se fosse uma pessoa de verdade.

O malware Herodotus representa uma evolução perigosa no cenário de ciberameaças móveis. Ele não apenas engana antivírus e sistemas de segurança do Android, mas também consegue driblar proteções comportamentais, simulando toques e digitação humana com precisão. Mesmo usuários de Android 13 ou superior, que teoricamente contam com defesas mais robustas, estão vulneráveis devido a um sofisticado bypass do sistema de acessibilidade.

Neste artigo, você vai entender o que é o Herodotus, como ele funciona, por que ele é tão perigoso e, principalmente, como se proteger dessa nova ameaça que está se espalhando pelo Brasil.

O que é o malware Herodotus?

Malware Herodotus
Imagem: Bleeping Computer

O Herodotus é uma nova família de malware bancário para Android, descoberta pela Threat Fabric em uma campanha ativa que inclui alvos no Brasil. Segundo os pesquisadores, o código do Herodotus mostra semelhanças com o do Brokewell, um trojan bancário detectado anteriormente, indicando que ambos podem ter sido criados pelo mesmo grupo criminoso.

Diferente de muitos vírus tradicionais, o Herodotus é distribuído como um MaaS (Malware-as-a-Service) — ou seja, ele é vendido ou alugado para outros criminosos em fóruns da dark web. Isso multiplica o alcance do ataque, pois qualquer pessoa com acesso a esse serviço pode lançar campanhas personalizadas para roubar dados de vítimas em diferentes países.

Os principais alvos do Herodotus são aplicativos bancários e carteiras de criptomoedas, buscando roubar senhas, códigos de autenticação e credenciais de login.

Como funciona a infecção: o golpe do SMS e da acessibilidade

O vetor

Tudo começa com um golpe de smishing — uma variação do phishing que usa mensagens SMS para enganar as vítimas. O usuário recebe uma mensagem aparentemente legítima, muitas vezes fingindo ser do banco, da operadora ou de um serviço de entrega, com um link malicioso.

O “dropper”

Ao clicar no link, a vítima é levada a baixar um arquivo APK que contém o dropper — um instalador disfarçado de aplicativo legítimo. Esse dropper serve para introduzir o malware Herodotus no sistema Android.

O bypass do Android 13+

Mesmo as versões mais recentes do sistema, como o Android 13 e superiores, não escapam. O Herodotus solicita permissões de Acessibilidade, que são extremamente poderosas e permitem controlar o dispositivo por completo. Para driblar o alerta do Android, o malware usa uma técnica de sobreposição (overlay): exibe uma tela falsa de “carregamento” enquanto, em segundo plano, autoriza automaticamente a si mesmo a usar a Acessibilidade.

Com isso, o vírus ganha acesso total ao dispositivo — podendo tocar, deslizar, digitar e até interagir com aplicativos sensíveis, como bancos.

A técnica “humanizadora”: por que o Herodotus é tão perigoso

Uma vez com as permissões de Acessibilidade, o malware Herodotus se diferencia de todos os outros trojans bancários conhecidos por uma razão: ele imita a digitação humana.

O problema da detecção

Os sistemas antifraude dos bancos e aplicativos financeiros monitoram o comportamento do usuário. Quando detectam ações automáticas — como cliques instantâneos ou digitação em alta velocidade —, eles bloqueiam o acesso, presumindo que se trata de um bot ou malware.

A solução do Herodotus

O Herodotus contorna isso de forma engenhosa. Ele introduz atrasos aleatórios entre 0,3 e 3 segundos entre cada toque ou caractere digitado, simulando pausas humanas. Em outras palavras, ele “finge ser gente” — digita como uma pessoa real, com hesitações e intervalos naturais.

O impacto

Essa “humanização” torna o vírus praticamente indetectável pelos sistemas comportamentais dos bancos. Para o software de segurança, parece que o próprio usuário está acessando o app e digitando suas credenciais normalmente. Essa é uma das técnicas mais avançadas de evasão vistas até agora em malwares móveis.

O que mais o Herodotus pode fazer?

Além de imitar a digitação humana, o malware Herodotus inclui um conjunto completo de ferramentas para espionagem e roubo de dados:

  • Sobreposições de tela: cria janelas falsas idênticas às de apps bancários, enganando o usuário e coletando suas credenciais.
  • Sobreposições opacas: escondem visualmente o que o malware está fazendo na tela.
  • Ladrão de SMS: intercepta mensagens recebidas, especialmente códigos de autenticação de duas etapas (2FA).
  • Captura de tela: registra tudo o que aparece no display, incluindo informações sensíveis.
  • Controle remoto total: permite que o criminoso opere o celular à distância, como se fosse o próprio dono.

Essas capacidades tornam o Herodotus uma ameaça completa, capaz de comprometer não apenas contas bancárias, mas também toda a privacidade do usuário.

Como se proteger do malware Herodotus

Diante de um vírus tão sofisticado, a melhor defesa é a prevenção. A seguir, veja as principais medidas para se proteger.

Não baixe APKs fora da Google Play

Essa é a regra de ouro. Nunca instale aplicativos obtidos por links, sites de terceiros ou mensagens. O Herodotus depende justamente de que o usuário baixe manualmente o APK do golpe. Sempre use a Google Play Store, que conta com verificações automáticas.

Ative e verifique o Play Protect

Certifique-se de que o Google Play Protect está ativado. Ele é a primeira linha de defesa contra apps maliciosos.
Para verificar: abra a Play Store > Toque na sua foto de perfil > Play Protect > Verificar aplicativos.

Desconfie de SMS

Jamais clique em links recebidos por mensagens SMS — especialmente se prometem atualização de app, rastreio de entrega ou confirmação de pagamento.
Bancos e empresas não enviam links diretos por SMS. Caso receba, apague a mensagem imediatamente.

Atenção máxima às permissões de acessibilidade

Este é o ponto mais importante. A Acessibilidade é a “chave mestra” do Android.
Nenhum aplicativo comum — banco, rede social ou jogo — precisa dessa permissão.

Para se proteger, siga este passo a passo:

  1. Vá em Configurações > Acessibilidade > Aplicativos instalados.
  2. Revise a lista e verifique quais apps têm essa permissão.
  3. Revogue imediatamente o acesso de qualquer aplicativo que pareça suspeito ou que você não reconheça.

Essa simples verificação pode bloquear completamente o poder do Herodotus.

Conclusão: a evolução da fraude móvel

O malware Herodotus marca uma nova etapa nas fraudes digitais. Ao imitar o comportamento humano, ele demonstra que os cibercriminosos estão evoluindo, buscando enganar não apenas os antivírus, mas também as defesas comportamentais das instituições financeiras.

A ameaça é real — e o Brasil está na mira. Mas, com atenção e boas práticas, é possível se proteger.

Não espere ser uma vítima. Reserve dois minutos agora mesmo para verificar as permissões de Acessibilidade do seu Android e garantir que apenas aplicativos confiáveis, como leitores de tela para pessoas com deficiência, estejam ativados.

A segurança digital começa com vigilância e informação — e, neste caso, com um simples toque em “Configurações”.

TAGS:
Compartilhe este artigo
Nenhum comentário
TecnologiaUbuntu

Canonical lança “Academy” com exames práticos para certificar habilidades em Ubuntu e Linux

WvZ76okR canonical academy ubuntu

Certificação prática em Ubuntu, feita por quem constrói o Ubuntu.

Por Emanuel Negromonte

Leia também

Posts sobre o mesmo assunto