Novembre 3, 2025 / Ultimo aggiornamento : Novembre 3, 2025 Redazione Android

Il nuovo malware bancario Herodotus è arrivato anche in Italia ed è particolarmente pericoloso perché può prendere il controllo completo dei dispositivi Android
5 (6)

Tempo di lettura: 4 minuti

Il nuovo malware bancario Herodotus è arrivato anche in Italia ed è particolarmente pericoloso perché può prendere il controllo completo dei dispositivi Android infetti e rubare denaro dai conti correnti online.

Come funziona Herodotus

  • Si diffonde tramite SMS ingannevoli (smishing) che invitano a installare un’app apparentemente legittima, in Italia mascherata come “Banca Sicura”.
  • Utilizza i servizi di accessibilità di Android per leggere lo schermo, sovrapporre schermate false identiche alle app bancarie reali, e così rubare credenziali e codici temporanei di accesso.
  • Simula la digitazione dei dati con intervalli casuali da 0,3 a 3 secondi, imitando il comportamento umano per eludere i sistemi antifrode automatici.
  • Intercetta gli SMS per acquisire i codici di autenticazione a due fattori.
  • Comunica con i server di comando attraverso il protocollo MQTT ed è venduto come Malware-as-a-Service, ampliandone la diffusione.

Come difendersi

  • Evitare di installare app fuori dal Google Play Store, limitandosi a fonti ufficiali.
  • Non aprire link sospetti ricevuti via SMS o messaggi istantanei.
  • Mantenere il sistema operativo Android e tutte le app aggiornate.
  • Usare strumenti di sicurezza affidabili per il rilevamento di malware.
  • Prestare attenzione a permessi sospetti, specialmente quelli di accessibilità.

Herodotus è molto sofisticato nel simulare l’attività umana e nel nascondere le azioni fraudolente, quindi è importante seguire scrupolosamente queste misure di sicurezza per proteggere i propri conti correnti online.

Herodotus è un malware bancario per Android molto sofisticato che si distingue per la sua capacità di mimare comportamenti umani al fine di sfuggire ai sistemi antifrode e di sicurezza.

Come riconoscere Herodotus:

  • Distribuzione tramite SMS phishing (smishing): l’infezione avviene tramite SMS contenenti link malevoli che conducono a un’app falsa (dropper) che installa il malware.
  • Richiesta di abilitare permessi di accessibilità: il malware usa queste autorizzazioni per controllare il dispositivo, manipolare lo schermo, e simulare tocchi e digitazioni.
  • Digitazione con ritardi randomizzati (0,3-3 secondi): Herodotus simula la digitazione umana inserendo pause casuali fra i caratteri per evitare il rilevamento da sistemi di sicurezza basati sul comportamento.
  • Sovrapposizione di schermate false: mostra schermate di login bancarie fake per rubare credenziali e codici di autenticazione a due fattori.
  • Intercettazione automatica degli SMS: acquisisce i codici temporanei inviati tramite SMS per l’autenticazione a due fattori.
  • Presenza di overlay semitrasparenti: per nascondere le attività fraudolente all’utente.
  • Comportamento anomalo nel consumo dati o batteria: a causa dell’attività in background per comunicare con server di comando tramite protocollo MQTT.
  • Comportamenti sospetti come installazioni autonome di APK o permessi extra senza consenso chiaro.

Segnali sospetti su dispositivo Android che possono indicare infezione da Herodotus:

  • Ricezione di SMS con link strani o da numeri sconosciuti.
  • Richiesta improvvisa di permessi di accessibilità per app non famose.
  • Attività insolite sul dispositivo durante l’uso di app bancarie (blocchi, rallentamenti, finestre inattese).
  • Notifica di accesso o connessioni insolite agli account bancari.
  • Messaggi o schermate bancarie che sembrano copie ma comportano richiesta di dati sensibili.

Come difendersi:

  • Non aprire link sospetti da SMS.
  • Non installare app da fonti non ufficiali.
  • Tenere aggiornato Android e le app installate.
  • Monitorare e revocare permessi sospetti, specialmente quelli di accessibilità.
  • Usare software antivirus affidabili con protezione attiva.
  • Essere cauti nell’uso di app bancarie e segnalare anomalie alla banca.

Questi dettagli aiutano a identificare e prevenire infezioni da Herodotus, malware che sfrutta tecniche avanzate di evasione e furto dati su Android.

I segni visibili di infezione da malware come Herodotus su un telefono Android possono includere:

  • Il dispositivo si surriscalda più del normale per via dell’attività anomala in background.
  • Prestazioni più lente, rallentamenti frequenti o crash improvvisi delle app.
  • Comparsa di popup casuali o annunci indesiderati sullo schermo.
  • Nuove app installate di cui l’utente non ha memoria o permessi di accessibilità concessi a app sospette.
  • La home page del browser cambia senza autorizzazione o si viene reindirizzati a siti sospetti o falsi.
  • Consumo anomalo e improvviso di batteria o dati, dovuto all’attività nascosta del malware.
  • La luce della fotocamera rimane accesa anche senza usare l’app, potenzialmente indicativa di accesso non autorizzato a fotocamera o microfono.
  • Messaggi o chiamate non autorizzati inviati dal dispositivo, spesso usati per diffondere il malware.
  • Segnalazioni di addebiti non autorizzati o movimenti sospetti sui conti bancari collegati al dispositivo.

Nel caso specifico di Herodotus, il malware richiede permessi di accessibilità e sovrappone schermate false delle app bancarie, quindi bisogna prestare attenzione a richieste sospette di autorizzazioni e comportamenti strani quando si usano app di banca.

Questi segnali possono aiutare a riconoscere un’infezione e prendere tempestive contromisure come scansione antivirus, revoca permessi sospetti e aggiornamenti di sicurezza.

Per isolare rapidamente un telefono infetto da malware come Herodotus, segui questi passaggi:

  1. Disconnetti subito il telefono da Internet: disattiva Wi-Fi e dati mobili per interrompere la comunicazione del malware con i server di comando.
  2. Disattiva servizi di accessibilità sospetti: entra nelle impostazioni di accessibilità e revoca i permessi a qualsiasi app non riconosciuta o sconosciuta.
  3. Metti il telefono in modalità aereo: per tagliare ogni connessione in entrata e uscita mantenendo il telefono funzionante per operazioni manuali.
  4. Blocca l’installazione di app da fonti sconosciute: nelle impostazioni di sicurezza, disattiva l’installazione da origini non ufficiali.
  5. Chiudi tutte le app aperte, in particolare quelle bancarie o sospette, per impedire ulteriori attività fraudolente.
  6. Esegui una scansione con antivirus affidabile offline o in modalità sicura (Safe Mode): disinstalla app malevole o sospette.
  7. Cambia le password importanti da un dispositivo sicuro: soprattutto quelle bancarie e account collegati.
  8. Contatta il supporto bancario per bloccare temporaneamente le transazioni sospette.

Questi passaggi isolano il dispositivo per limitare i danni e preparano all’eliminazione completa del malware.

Dai un voto a questo articolo!
[Totale: 6 Media: 5]

\ Get the latest news /

Visto: + 527

Ti potrebbero interessare anche:

Categorie
Android, Blog, News, Scienza e tecnologia, Sicurezza, Tecnologia, e Virus informatici
Tag

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Blog

Articolo precedente

Apple prevede di rilasciare ufficialmente oggi, lunedì 3 novembre 2025, l’aggiornamento iOS 26.1
Novembre 3, 2025
Blog

Articolo successivo

Lunedì 3 novembre 2025, una donna di 43 anni, dirigente della Finlombarda, è stata accoltellata alle spalle in piazza Gae Aulenti a Milano (in aggiornamento)
Novembre 3, 2025