Você já imaginou um malware capaz de “bater papo” com a tela do seu celular na mesma velocidade que você? É exatamente essa a artimanha do Herodotus, um novo trojan bancário para Android que está circulando no Brasil e que chama atenção por simular digitação humana, com pequenos intervalos entre cada caractere. A tática confunde sistemas de detecção de fraude e abre caminho para o roubo de credenciais bancárias e códigos de autenticação.
Para quem vive de tecnologia — seja produzindo conteúdo em WordPress, otimizando campanhas no AdSense ou gerenciando programas de afiliados — a notícia acende um alerta: se até apps aparentemente legítimos podem ser tomados por invasores, o ecossistema inteiro de monetização, autenticação e pagamento fica vulnerável. Vamos aos detalhes e, depois, ao que isso de fato muda no jogo.
Como o Herodotus se infiltra nos celulares
Segundo a ThreatFabric, o Herodotus chega às vítimas principalmente via SMS de phishing e outras táticas de engenharia social. No Brasil, ele se disfarça como o aplicativo “Módulo Segurança Stone”; em seguida, é instalado como se fosse um pacote legítimo do Google Chrome. A vítima, acreditando estar reforçando a segurança do telefone, concede as permissões necessárias para o golpe.
Recursos de acessibilidade viram porta de entrada
Depois de instalado, o malware ativa as APIs de Acessibilidade do Android. Com isso, passa a enxergar e controlar tudo na tela: gera sobreposições que escondem atividades suspeitas, coleta o que é digitado e até altera configurações do sistema para instalar outros aplicativos remotamente. O controle é completo, permitindo a criação de telas de login falsas para capturar senhas e tokens de autenticação em dois fatores.
A técnica da digitação humana: por que engana antivírus
O grande diferencial do Herodotus está nos micro-atrasos: entre 0,3 s e 3 s a cada caractere inserido. Para softwares de segurança, digitar todo um texto em milissegundos é um sinal óbvio de automação maliciosa; já uma cadência irregular, próxima da nossa, passa despercebida. Resultado: o trojan consegue operar “à vista” sem disparar alarmes, mesmo em dispositivos com antivírus.
Danos potenciais: do furto de senhas à instalação de novos apps
Com acesso total, o Herodotus:
Imagem: Internet
- Captura senhas bancárias e credenciais de apps financeiros.
- Intercepta SMS e notificações push para roubar códigos 2FA.
- Instala outros aplicativos de apoio ao golpe, ampliando a superfície de ataque.
- Oculta parte de suas atividades atrás de telas opacas, tornando a investigação forense mais difícil.
Neste momento, campanhas foram confirmadas no Brasil e na Itália, mas nada impede a expansão para outros mercados de língua portuguesa.
Além da Tela: por que esse malware é um alerta vermelho para o mercado de apps no Brasil
O Herodotus expõe três fragilidades que vão muito além do universo bancário. Primeiro, ele ilustra como APIs de Acessibilidade, criadas para inclusão, continuam sendo exploradas sem que o Android imponha restrições mais finas por tipo de app. Segundo, mostra que a velha engenharia social — um SMS convincente — continua sendo o elo mais fraco, mesmo em um país com forte adoção de autenticação em duas etapas.
Por fim, o caso lança uma sombra sobre quem depende de monetização móvel: qualquer app fraudulento que burle as defesas da Play Store degrade a confiança do usuário no ecossistema. Se o público passa a duvidar de cada download, criadores de conteúdo e anunciantes precisam investir ainda mais em reputação e em canais oficiais para distribuição de aplicativos e serviços.
Em síntese, o Herodotus não é apenas “mais um” trojan bancário: ele sinaliza que técnicas de mimetização comportamental estão amadurecendo e podem chegar a fraudes que envolvem publicidade, afiliados e até marketplaces. Entender e antecipar essas táticas se torna parte fundamental de qualquer estratégia digital séria em 2024.