Una nueva amenaza está dando de qué hablar en el mundo de la ciberseguridad: Herodotus, un malware Android que lleva el camuflaje a otro nivel. Este troyano introduce pequeños retrasos aleatorios al escribir para imitar el ritmo natural de una persona y así burlar los sistemas de seguridad que buscan patrones de tecleo automatizados.
Herodotus se ofrece como un servicio que cualquiera con intención maliciosa puede contratar (Malware as a Service), y ya está siendo usado en campañas reales, principalmente a través de mensajes SMS de phishing (smishing) que engañan a la víctima para que descargue una app maliciosa fuera de las tiendas oficiales.
En TecnetOne te mantenemos siempre al tanto: monitoreamos las nuevas familias de malware y publicamos avisos prácticos para que no caigas en estas trampas.
El malware Herodotus es una nueva familia de troyanos para el sistema operativo Android que, según Threat Fabric, se distribuye como un modelo de “malware-como-servicio” destinado a ciberdelincuentes con motivación financiera.
Algunas de sus características clave son:
Se dirige a dispositivos Android, incluyendo versiones relativamente recientes (Android 9 hasta Android 16, según algunos reportes).
Se propaga principalmente mediante SMS de phishing (también denominado “smishing”), que contienen un enlace a un instalador (dropper) diseñado para engañar al usuario.
Su mecanismo de instalación explota los servicios de accesibilidad de Android (Accessibility Services) para obtener permisos elevados, permitiendo al malware controlar la interfaz del dispositivo, realizar pulsaciones, tipeos, gestos, etc.
Pero lo más notable: Herodotus introduce retrasos aleatorios en sus acciones de tipeo o entrada de texto para simular la cadencia humana y así evitar la detección por sistemas de comportamiento que buscan patrones mecánicos o demasiado rápidos.
En resumen: Herodotus es un troyano móvil diseñado para tomar el control de los dispositivos Android, robar credenciales de bancos o criptomonedas, interceptar SMS de auténticación de dos factores y disfrazar su actividad como si fuera un usuario legítimo, lo cual lo hace especialmente peligroso.
Nuevo Herodotus MaaS (Fuente: Threat Fabric)
El proceso de infección de Herodotus sigue varias etapas clave:
El ataque comienza con un SMS falso que aparenta provenir de una entidad conocida, como un banco o empresa de mensajería. El mensaje incluye un enlace que dirige a una página desde donde la víctima descarga una app maliciosa.
Una vez instalada la aplicación, esta solicita al usuario activar los servicios de accesibilidad, alegando funciones falsas como mejorar el rendimiento o facilitar la navegación. Al hacerlo, el malware obtiene el control total del dispositivo.
Con los permisos activos, Herodotus puede:
Simular toques o escribir texto en la interfaz.
Mostrar pantallas falsas que imitan aplicaciones legítimas para capturar datos.
Leer mensajes SMS para interceptar códigos de verificación.
Monitorear la actividad del usuario en segundo plano.
La característica más sofisticada del malware es su capacidad de simular tecleo humano. Introduce pausas aleatorias entre pulsaciones, generalmente entre 0,3 y 3 segundos, lo que dificulta que los antivirus o sistemas de monitoreo detecten comportamientos automatizados.
Una vez que obtiene credenciales o datos bancarios, los atacantes pueden realizar transacciones, acceder a cuentas, o enviar nuevos SMS maliciosos a los contactos de la víctima para seguir propagando el malware.
Podría interesarte leer: ChatGPT Atlas: Nueva Vulnerabilidad
Herodotus es una amenaza preocupante por varias razones:
Evasión avanzada: su técnica de tecleo humanizado rompe muchos sistemas de detección tradicionales.
Control total: el uso de los servicios de accesibilidad le permite operar como si fuera el propio usuario.
Robo financiero: está diseñado específicamente para fraudes bancarios y robo de criptomonedas.
Modelo MaaS: al venderse como servicio, cualquier ciberdelincuente puede usarlo sin tener conocimientos técnicos.
Difusión global: aunque los primeros casos se registraron en Italia y Brasil, puede propagarse fácilmente a otros países.
Panel de administración de Herodotus (Fuente: Threat Fabric)
Aunque un malware sofisticado como Herodotus puede ocultarse muy bien, hay ciertos signos que pueden sugerir que un dispositivo Android está comprometido:
Solicitudes inesperadas de permisos de accesibilidad: Si aparece una app que pide activar “Accesibilidad” sin que tenga un motivo claro, es una señal de riesgo.
Comportamiento extraño del dispositivo: Por ejemplo, la pantalla se vuelve negra, el audio se silencia o la app bancaria solicita información adicional de forma inusual.
Uso inusual de datos o batería: El malware puede consumir recursos en segundo plano para comunicarse con servidores de mando y control (C2).
Instalación de apps que no recuerdas: Si descubres apps instaladas sin tu conocimiento o con nombres sospechosos.
Activación de funciones desconocidas o cambio en la configuración sin que lo hayas hecho tú: Por ejemplo, cambiar el número de la app SMS predeterminada, enviar SMS desde tu cuenta o crear contactos nuevos sin autorización.
Alertas del proveedor de seguridad o del propio sistema Android: A veces pueden aparecer advertencias de “actividad inusual” o “app no verificada”.
Si detectas alguno de estos indicadores, es altamente recomendable actuar de inmediato: desconectar el dispositivo, cambiar contraseñas críticas, escanear con un antivirus móvil fiable, revocar permisos y considerar restaurar el dispositivo a valores de fábrica.
Dado que la prevención es la mejor defensa, en TecnetOne sabemos que la información y la anticipación son claves para evitar caer en este tipo de amenazas.
Por eso, hemos preparado un conjunto de recomendaciones tanto para usuarios particulares como para organizaciones, que puedes adaptar según tu contexto (ya sea que trabajes en ciberseguridad, administración de sistemas, gestión de sitios web o soporte técnico). Nuestro objetivo es ayudarte a fortalecer tu entorno digital y mantener tus dispositivos siempre protegidos.
Descarga aplicaciones solo desde la tienda oficial (Google Play Store). Evita instalar APKs de fuentes desconocidas, salvo que estés absolutamente seguro de su origen.
Activa la función de Google Play Protect, que analiza apps en busca de comportamiento malicioso.
No habilites servicios de accesibilidad para apps que no los necesiten. Verifica cada vez que una app lo solicite: ¿por qué lo necesita?
Revisa los permisos de las apps instaladas y revoca aquellos que no tienen sentido (por ejemplo, accesibilidad, pantalla de superposición, etc.).
Mantén actualizado el sistema operativo Android y todas las aplicaciones. Los parches de seguridad son clave.
Usa autenticación de múltiples factores (MFA) que no dependan exclusivamente de SMS, cuando sea posible.
Evita hacer clic en enlaces sospechosos recibidos por SMS, WhatsApp u otras plataformas, especialmente si provienen de números desconocidos o incluyen promesas demasiado buenas para ser verdad (“ganaste un premio”, “actualiza tu banco”, etc.).
Realiza backups periódicos de tus datos importantes y considera restaurar el dispositivo a valores de fábrica si sospechas una infección.
Establece políticas claras de seguridad móvil (MDM: Mobile Device Management) que limiten la instalación de apps desde fuentes desconocidas, gestión de permisos críticos (accesibilidad) y monitoreo de comportamiento del dispositivo.
Utiliza soluciones de seguridad móvil con detección de comportamiento, no solo firma de malware, dado que amenazas como Herodotus dependen de evadir firmas.
Monitoriza logs de accesibilidad, actividades de superposición de pantalla, instalación de apps externas y permisos inusuales en dispositivos corporativos.
Educa a los trabajadores sobre phishing móvil, smishing y los peligros de conceder permisos sin verificar. Si tu empresa usa dispositivos Android para servicios de seguridad, este tipo de amenazas debe formar parte de la formación regular de ciberseguridad.
Segmenta red y datos sensibles para que, en caso de dispositivo infectado, el impacto sea limitado.
Mantén actualizado el inventario de aplicaciones permitidas, controla las versiones y revisa las actualizaciones de seguridad del fabricante del dispositivo.
La aparición del malware Herodotus demuestra que las amenazas móviles siguen evolucionando y que los atacantes buscan constantemente nuevas formas de burlar los sistemas de seguridad. Su capacidad para fingir tecleo humano lo convierte en un ejemplo claro de cómo la ingeniería social y la innovación técnica se combinan para aumentar la efectividad del fraude digital.
Para los usuarios, la mejor defensa sigue siendo la prevención: no instalar apps de fuentes desconocidas, revisar permisos y mantenerse informados sobre nuevas amenazas.
En TecnetOne, te mantenemos siempre al día sobre las últimas familias de malware, vulnerabilidades y tendencias en ciberseguridad para que puedas proteger tus dispositivos y evitar caer en ataques como Herodotus. Mantente informado, refuerza tus hábitos digitales y recuerda: la ciberseguridad empieza contigo.