Il panorama della sicurezza informatica è stato recentemente scosso dalla scoperta di Herodotus, un nuovo trojan bancario per Android che si distingue per la sua capacità di imitare il comportamento umano e aggirare i sistemi antifrode basati su biometria comportamentale. Herodotus è stato individuato in campagne attive principalmente in Italia e Brasile, con l’obiettivo di eseguire attacchi di device takeover, ossia il controllo remoto totale del dispositivo della vittima.

Il malware è stato pubblicizzato nei forum underground come servizio MaaS (malware-as-a-service) a partire dal 7 settembre 2025, offrendo compatibilità con dispositivi Android dalla versione 9 alla 16. L’architettura di Herodotus riprende alcune tecniche di Brokewell, altro noto trojan bancario, soprattutto per quanto riguarda le tecniche di offuscamento, e sono stati trovati riferimenti diretti a Brokewell all’interno del codice di Herodotus.

La modalità di infezione avviene principalmente tramite app dropper che si spacciano per Google Chrome, distribuite attraverso campagne di smishing e altre strategie di social engineering. Una volta installato, il trojan abusa dei servizi di accessibilità di Android per interagire con lo schermo, mostrare schermate di overlay opache per nascondere le attività malevole e rubare credenziali tramite schermate di login fasulle sovrapposte alle app bancarie reali.

Tra le sue funzionalità più pericolose

• Herodotus è in grado di intercettare codici 2FA ricevuti via SMS,
• catturare tutto ciò che viene visualizzato sullo schermo,
• ottenere autonomamente permessi aggiuntivi,
• acquisire PIN o pattern di blocco schermo
• installare nuovi file APK da remoto.

Tuttavia, l’aspetto che rende Herodotus particolarmente sofisticato è la capacità di simulare l’input umano: introduce ritardi casuali tra 300 e 3000 millisecondi durante la digitazione automatica di testo, rendendo più difficile per i sistemi antifrode distinguere le azioni automatizzate da quelle di un vero utente.

Herodotus non si limita a colpire solo utenti bancari, ma ha già preso di mira istituzioni finanziarie in Stati Uniti, Turchia, Regno Unito e Polonia, oltre a portafogli e servizi di criptovalute, segno di una rapida espansione internazionale. In piena fase di sviluppo, questo trojan si conferma uno strumento evoluto, progettato per resistere all’interno delle sessioni attive e non solo per il furto di credenziali statiche.