Blog Seguridad América

Noticias de Ciberseguridad

Sin categoría

«Herodotus»: el nuevo troyano bancario para Android que escribe “como humano”.

Por Fabian Vidal

Es un nuevo troyano bancario para Android reportado públicamente a fines de octubre de 2025 y analizado por varios equipos de seguridad.

¿Qué está pasando?

Recientemente investigadores de seguridad han identificado una nueva familia de troyanos bancarios para Android llamada Herodotus.

Algunos puntos clave:

  • Se ha observado en campañas activas en Italia y Brasil, aunque podría expandirse a otros países.
  • Usa técnicas avanzadas para hacerse pasar por un usuario legítimo: por ejemplo, al “teclear” credenciales, introduce pausas aleatorias entre 0,3 y 3 segundos por carácter, imitando escritura humana real.
  • Se distribuye mediante SMS con enlaces falsos (smishing) que inducen a los usuarios a instalar aplicaciones maliciosas o “droppers” que luego descargan el troyano.
  • Una vez dentro del dispositivo, puede acceder a los servicios de accesibilidad de Android, mostrar pantallas superpuestas (overlays) sobre apps bancarias, interceptar códigos 2FA por SMS, capturar PIN o patrones de bloqueo y controlar remotamente el teléfono.
  • Fue anunciado como un “Malware-as-a-Service” (MaaS) en foros clandestinos, bajo el nombre de su supuesto desarrollador, conocido como “K1R0”.

¿Cuáles son los riesgos para los usuarios (y empresas)?

Los riesgos son considerables, especialmente para usuarios con apps bancarias móviles, pagos digitales o que manejan cuentas sensibles. Algunos de los impactos más relevantes son:

  • Robo de credenciales bancarias, acceso no autorizado a cuentas y posible vaciado de fondos.
  • Intercepción de mensajes SMS de verificación (2FA), debilitando una capa esencial de seguridad.
  • Secuestro del dispositivo, permitiendo que el atacante opere “como tú” en tu móvil: transferir fondos, generar pagos o modificar configuraciones.
  • Evasión de detección, ya que al simular escritura humana, puede pasar desapercibido ante mecanismos de seguridad basados en comportamiento.
  • Difusión global, al tratarse de un malware ofrecido como servicio (MaaS), lo que facilita su expansión a nuevos países y sectores.

Para las empresas especialmente del sector financiero, fintech o de pagos digitales, esto significa que los controles tradicionales ya no son suficientes. Es necesario aplicar vigilancia sobre el comportamiento de los dispositivos, análisis del entorno de uso y una gestión de seguridad integral que incluya a los usuarios móviles.

¿Cómo combatirlo? Buenas prácticas y recomendaciones.

A continuación, un listado de acciones recomendadas para usuarios finales y empresas, que ayudan a reducir el riesgo de infección por Herodotus y otras variantes de malware móvil.

Para usuarios finales:

  • No instales apps fuera de tiendas oficiales y desconfía de enlaces recibidos por SMS, WhatsApp u otras mensajerías que soliciten verificar cuentas o descargar “módulos de seguridad”.
  • Activa la protección automática de Android (como Google Play Protect) y mantén el sistema operativo siempre actualizado.
  • Revisa los permisos de tus aplicaciones: especialmente las que soliciten acceso a servicios de accesibilidad o permisos para instalar otras apps.
  • Usa autenticación multifactor (MFA) siempre que sea posible, preferiblemente con métodos robustos como llaves físicas o biometría avanzada, no solo SMS.
  • Descarga tus apps bancarias directamente desde fuentes oficiales y verifica sus actualizaciones periódicamente.
  • Si detectas actividad sospechosa (mensajes de verificación inesperados, movimientos extraños, apps desconocidas), suspende operaciones y contacta inmediatamente con tu banco o servicio técnico.

Para empresas (TI, Seguridad, Finanzas):

  • Considerar los dispositivos móviles como parte del perímetro de riesgo, implementando soluciones de gestión o detección avanzada (MDM o EDR móvil).
  • Analizar el contexto del uso del dispositivo: ubicación, huella digital y comportamiento del usuario para identificar anomalías.
  • Validar la integridad de las aplicaciones móviles, revisando firmas digitales, overlays y permisos potencialmente abusivos.
  • Capacitar a los colaboradores en la detección de smishing, apps falsas y amenazas móviles emergentes.
  • Mantener actualizada la inteligencia de amenazas (IoCs, dominios, hashes), ya que Herodotus evoluciona rápidamente.
  • En organizaciones financieras, reforzar los sistemas antifraude: combinar múltiples señales (dispositivo, ubicación, frecuencia de transacciones) y establecer alertas ante comportamientos inusuales.

Conclusión

El malware Herodotus marca un nuevo nivel de sofisticación en las amenazas móviles. No solo roba credenciales, sino que imita el comportamiento humano para engañar a los sistemas de detección.

En un entorno donde los smartphones se han convertido en el principal medio de gestión financiera, esta amenaza debe tomarse con seriedad.

Para las empresas de LATAM, es momento de reforzar la ciberseguridad móvil mediante estrategias de defensa en capas, educación constante a los usuarios y vigilancia activa frente a nuevas variantes de malware.

Por Fabian Vidal

Related Post

Sin categoría

Caída mundial de Cloudflare: cómo mantener tu web disponible siempre.

Fabian Vidal Nov 18, 2025
Sin categoría

MDR: la defensa inteligente que protege a las empresas antes de que el daño ocurra.

Fabian Vidal Nov 12, 2025
Sin categoría

Xcitium: la única defensa capaz de contener el ransomware antes de que actúe.

Fabian Vidal Nov 7, 2025

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *