Cómo eliminar Herodotus de dispositivos Android infectados
TroyanoConocido también como: Trojan bancario Herodotus
Obtenga un escaneo gratuito y verifique si su computadora está infectada.
ELIMÍNELO AHORAPara usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por RCS LT, la empresa matriz de PCRisk.
¿Qué tipo de malware es Herodotus?
Herodotus es un malware para Android que se apodera de los dispositivos e intenta imitar las acciones humanas reales para evadir los controles de seguridad basados en el comportamiento. Ya se ha utilizado en ataques en Italia y Brasil, y ya se ha anunciado un modelo de malware como servicio. Hay indicios de que el malware podría tener características adicionales en el futuro.
Heródoto en detalle
Herodotus se distribuye mediante sideloading, a menudo a través de mensajes SMS que atraen a las víctimas a un enlace malicioso, que entrega un dropper. Cuando se ejecuta, el dropper instala la carga útil de manera que evade las restricciones de Android 13 (y versiones posteriores) sobre los servicios de accesibilidad. El dropper inicia Herodotus y abre la configuración de accesibilidad para empujar a la víctima a habilitarlo.
Una vez concedido, Herodotus muestra una pantalla de carga falsa para ocultar el abuso de permisos y, a continuación, se prepara para robar las credenciales y tomar el control del dispositivo. También envía la lista de aplicaciones instaladas a su C2, recibe objetivos específicos y páginas superpuestas, y espera a que la víctima abra una de esas aplicaciones, donde mostrará una pantalla de inicio de sesión falsa para robar los datos de inicio de sesión.
Con Herodotus, los ciberdelincuentes pueden tocar elementos, pulsar puntos específicos de la pantalla, escribir texto, deslizar el dedo y utilizar botones del sistema como «Atrás», «Inicio» y «Recientes», lo que les permite interactuar de forma remota con el dispositivo. Esto les permite robar dinero realizando transacciones en la cuenta de la víctima.
Cuando los delincuentes introducen texto en el dispositivo de una víctima, pueden escribirlo manualmente utilizando el teclado del dispositivo o inyectarlo directamente en los campos de entrada. Escribir manualmente es lento, por lo que muchos troyanos bancarios utilizan la inyección directa de texto para garantizar que el texto correcto se introduzca al instante.
Sin embargo, este método puede parecer poco natural y activar los sistemas antifraude, por lo que Herodotus intenta ocultarlo dividiendo el texto en caracteres individuales e insertando retrasos aleatorios.
Además, Herodotus puede mostrar una superposición de bloqueo, una pantalla falsa colocada sobre la interfaz de usuario real que oculta la actividad fraudulenta a la víctima, pero que permanece parcialmente visible para el atacante. Un comando de superposición independiente se dirige a las aplicaciones bancarias, manteniendo a las víctimas alejadas de la aplicación para que no vean las transacciones ni se pongan en contacto con su banco.
Herodotus también puede mostrar superposiciones falsas que roban credenciales, roban SMS para obtener códigos 2FA y realizan keylogging basado en accesibilidad para capturar datos en pantalla. Además, el malware puede desbloquear dispositivos infectados, administrar archivos, capturar PIN, contraseñas e entradas biométricas, instalar APK remotos y mantener la persistencia.
Herodotus se ha hecho pasar por Banca Sicura en Italia y Modulo Seguranca Stone en Brasil para engañar a las víctimas y que lo instalen. Aunque aún no se han confirmado otros ataques activos, algunas superposiciones indican que Herodotus se está preparando para atacar bancos y plataformas de criptomonedas en Estados Unidos, Turquía, Reino Unido y Polonia.
| Nombre | Trojan bancario Herodotus |
| Tipo de amenaza | Malware para Android, aplicaciones maliciosas, aplicaciones no deseadas. |
| Síntomas | El dispositivo funciona con lentitud, la configuración del sistema se modifica sin el permiso del usuario, aparecen aplicaciones sospechosas, el uso de datos y batería aumenta significativamente, los navegadores redirigen a sitios web sospechosos y se muestran anuncios intrusivos. |
| Métodos de distribución | Mensajes SMS engañosos, enlaces falsos, aplicaciones bancarias fraudulentas. |
| Daños | Robo de información personal (mensajes privados, nombres de usuario/contraseñas, etc.), disminución del rendimiento del dispositivo, agotamiento rápido de la batería, disminución de la velocidad de Internet, pérdidas económicas, robo de identidad. |
| Eliminación de Malware |
Para eliminar posibles infecciones de malware, escanee su computadora con un software antivirus legítimo. Nuestros investigadores de seguridad recomiendan usar Combo Cleaner. Descargue Combo Cleaner para WindowsEl detector gratuito verifica si su equipo está infectado. Para usar el producto con todas las funciones, debe comprar una licencia para Combo Cleaner. 7 días de prueba gratuita limitada disponible. Combo Cleaner es propiedad y está operado por RCS LT, la empresa matriz de PCRisk. |
Conclusión
Herodotus es un sofisticado troyano bancario para Android que elude las protecciones de accesibilidad modernas para obtener un control persistente de los dispositivos infectados. Combina superposiciones falsas, interceptación de SMS, registro de pantalla y capacidades de control remoto para robar credenciales y realizar transacciones no autorizadas.
Si se detecta en un dispositivo, Herodotus debe eliminarse lo antes posible. Algunos ejemplos de otros troyanos bancarios dirigidos a usuarios de Android son Klopatra, Datzbro y RedHook.
¿Cómo se infiltró Heródoto en mi dispositivo?
Los usuarios suelen infectarse a través de la descarga lateral. Las víctimas reciben un SMS engañoso que incluye un enlace a un dropper malicioso, que la víctima descarga e instala. A continuación, el dropper instala y ejecuta Herodotus. Se sabe que Herodotus suele hacerse pasar por una aplicación bancaria (por ejemplo, Banca Sicura o Modulo Seguranca Stone).
¿Cómo evitar la instalación de malware?
Descargue aplicaciones solo de fuentes confiables, como Google Play, Apple App Store o sitios web oficiales. Actualice el sistema operativo y las aplicaciones instaladas con regularidad. Utilice software de seguridad móvil confiable. Evite hacer clic en enlaces de correos electrónicos, mensajes de texto o mensajes de redes sociales sospechosos.
Además, no haga clic en enlaces, anuncios, ventanas emergentes, botones, etc., en sitios web sospechosos.
Una ventana superpuesta falsa mostrada por el malware (fuente: threatfabric.com):
Panel de administración (fuente: threatfabric.com):
Menú rápido:
- Introducción
- ¿Cómo eliminar el historial de navegación del navegador web Chrome?
- ¿Cómo desactivar las notificaciones del navegador web Chrome?
- ¿Cómo restablecer el navegador web Chrome?
- ¿Cómo eliminar el historial de navegación del navegador web Firefox?
- ¿Cómo desactivar las notificaciones del navegador web Firefox?
- ¿Cómo restablecer el navegador web Firefox?
- ¿Cómo desinstalar aplicaciones potencialmente no deseadas y/o maliciosas?
- ¿Cómo arrancar el dispositivo Android en «modo seguro»?
- ¿Cómo comprobar el uso de batería de varias aplicaciones?
- ¿Cómo comprobar el uso de datos de varias aplicaciones?
- ¿Cómo instalar las últimas actualizaciones de software?
- ¿Cómo restablecer el sistema a su estado predeterminado?
- ¿Cómo desactivar las aplicaciones que tienen privilegios de administrador?
Eliminar el historial de navegación del navegador web Chrome:
Pulsa el botón «Menú» (tres puntos en la esquina superior derecha de la pantalla) y selecciona «Historial» en el menú desplegable que se abre.
Pulsa «Borrar datos de navegación», selecciona la pestaña «AVANZADO», elige el intervalo de tiempo y los tipos de datos que deseas eliminar y pulsa «Borrar datos».
Desactivar las notificaciones del navegador en el navegador web Chrome:
Pulsa el botón «Menú» (tres puntos en la esquina superior derecha de la pantalla) y selecciona «Configuración» en el menú desplegable que se abre.
Desplácese hacia abajo hasta que vea la opción «Configuración del sitio» y pulse sobre ella. Desplácese hacia abajo hasta que vea la opción «Notificaciones» y pulse sobre ella.
Busca los sitios web que envían notificaciones del navegador, pulsa sobre ellos y haz clic en «Borrar y restablecer». Esto eliminará los permisos concedidos a estos sitios web para enviar notificaciones. Sin embargo, cuando vuelvas a visitar el mismo sitio, es posible que te vuelva a solicitar permiso. Puede elegir si desea conceder estos permisos o no (si decide rechazarlos, el sitio web pasará a la sección «Bloqueado» y ya no le volverá a solicitar el permiso).
Restablecer el navegador web Chrome:
Ve a «Configuración», desplázate hacia abajo hasta que veas «Aplicaciones» y pulsa sobre ella.
Desplácese hacia abajo hasta encontrar la aplicación «Chrome», selecciónela y pulse la opción «Almacenamiento».
Toca «GESTIONAR ALMACENAMIENTO», luego «BORRAR TODOS LOS DATOS» y confirma la acción tocando «ACEPTAR». Ten en cuenta que al restablecer el navegador se eliminarán todos los datos almacenados en él. Esto significa que se borrarán todos los inicios de sesión/contraseñas guardados, el historial de navegación, la configuración no predeterminada y otros datos. También tendrá que volver a iniciar sesión en todos los sitios web.
Eliminar el historial de navegación del navegador web Firefox:
Pulsa el botón «Menú» (tres puntos en la esquina superior derecha de la pantalla) y selecciona «Historial» en el menú desplegable que se abre.
Desplácese hacia abajo hasta que vea «Borrar datos privados» y pulse sobre ello. Seleccione los tipos de datos que desea eliminar y pulse «BORRAR DATOS».
Desactivar las notificaciones del navegador web Firefox:
Visite el sitio web que envía notificaciones del navegador, pulse el icono que aparece a la izquierda de la barra de direcciones URL (el icono no tiene por qué ser necesariamente un «Candado») y seleccione «Editar configuración del sitio».
En la ventana emergente que se abre, selecciona la opción «Notificaciones» y pulsa «BORRAR».
Restablecer el navegador web Firefox:
Ve a «Configuración», desplázate hacia abajo hasta que veas «Aplicaciones» y pulsa sobre ella.
Desplácese hacia abajo hasta encontrar la aplicación «Firefox», selecciónela y pulse la opción «Almacenamiento».
Pulsa «BORRAR DATOS» y confirma la acción pulsando «ELIMINAR». Ten en cuenta que al restablecer el navegador se eliminarán todos los datos almacenados en él. Esto significa que se borrarán todos los inicios de sesión/contraseñas guardados, el historial de navegación, la configuración no predeterminada y otros datos. También tendrás que volver a iniciar sesión en todos los sitios web.
Desinstalar aplicaciones potencialmente no deseadas y/o maliciosas:
Ve a «Configuración», desplázate hacia abajo hasta que veas «Aplicaciones» y pulsa sobre ella.
Desplácese hacia abajo hasta que vea una aplicación potencialmente no deseada y/o maliciosa, selecciónela y pulse «Desinstalar». Si, por alguna razón, no puede eliminar la aplicación seleccionada (por ejemplo, si aparece un mensaje de error), debe intentar utilizar el «Modo seguro».
Inicie el dispositivo Android en «modo seguro»:
El «Modo seguro» del sistema operativo Android desactiva temporalmente todas las aplicaciones de terceros. Utilizar este modo es una buena forma de diagnosticar y resolver diversos problemas (por ejemplo, eliminar aplicaciones maliciosas que impiden a los usuarios hacerlo cuando el dispositivo funciona «normalmente»).
Pulse el botón «Encendido» y manténgalo pulsado hasta que aparezca la pantalla «Apagar». Toque el icono «Apagar» y manténgalo pulsado. Tras unos segundos, aparecerá la opción «Modo seguro» y podrá ejecutarla reiniciando el dispositivo.
Comprueba el uso de batería de varias aplicaciones:
Ve a «Configuración», desplázate hacia abajo hasta que veas «Mantenimiento del dispositivo» y pulsa sobre ello.
Toca «Batería» y comprueba el uso de cada aplicación. Las aplicaciones legítimas/auténticas están diseñadas para consumir la menor energía posible con el fin de proporcionar la mejor experiencia al usuario y ahorrar energía. Por lo tanto, un alto consumo de batería puede indicar que la aplicación es maliciosa.
Comprueba el uso de datos de varias aplicaciones:
Ve a «Configuración», desplázate hacia abajo hasta que veas «Conexiones» y pulsa sobre ella.
Desplácese hacia abajo hasta que vea «Uso de datos» y seleccione esta opción. Al igual que con la batería, las aplicaciones legítimas/auténticas están diseñadas para minimizar el uso de datos en la medida de lo posible. Esto significa que un uso excesivo de datos puede indicar la presencia de una aplicación maliciosa. Tenga en cuenta que algunas aplicaciones maliciosas pueden estar diseñadas para funcionar solo cuando el dispositivo está conectado a una red inalámbrica. Por este motivo, debe comprobar tanto el uso de datos móviles como el de Wi-Fi.
Si encuentra una aplicación que consume muchos datos aunque nunca la utilice, le recomendamos encarecidamente que la desinstale lo antes posible.
Instala las últimas actualizaciones de software:
Mantener el software actualizado es una buena práctica en lo que respecta a la seguridad de los dispositivos. Los fabricantes de dispositivos lanzan continuamente diversos parches de seguridad y actualizaciones de Android con el fin de corregir errores y fallos que pueden ser aprovechados por los ciberdelincuentes. Un sistema obsoleto es mucho más vulnerable, por lo que siempre debes asegurarte de que el software de tu dispositivo esté actualizado.
Ve a «Configuración», desplázate hacia abajo hasta que veas «Actualización de software» y pulsa sobre ella.
Pulse «Descargar actualizaciones manualmente» y compruebe si hay actualizaciones disponibles. Si es así, instálelas inmediatamente. También recomendamos habilitar la opción «Descargar actualizaciones automáticamente», que permitirá al sistema notificarle cuando se publique una actualización y/o instalarla automáticamente.
Restablecer el sistema a su estado predeterminado:
Realizar un «Restablecimiento de fábrica» es una buena forma de eliminar todas las aplicaciones no deseadas, restaurar la configuración predeterminada del sistema y limpiar el dispositivo en general. Sin embargo, debe tener en cuenta que se eliminarán todos los datos del dispositivo, incluidas las fotos, los archivos de vídeo/audio, los números de teléfono (almacenados en el dispositivo, no en la tarjeta SIM), los mensajes SMS, etc. En otras palabras, el dispositivo se restaurará a su estado original.
También puede restaurar la configuración básica del sistema y/o simplemente la configuración de red.
Ve a «Configuración», desplázate hacia abajo hasta que veas «Acerca del teléfono» y pulsa sobre ello.
Desplácese hacia abajo hasta que vea «Restablecer» y pulse sobre él. Ahora elija la acción que desea realizar:
Restablecer ajustes: restaura todos los ajustes del sistema a los valores predeterminados.
«Restablecer ajustes de red»: restaura todos los ajustes relacionados con la red a los valores predeterminados.
«Restablecimiento de datos de fábrica»: restablece todo el sistema y elimina por completo todos los datos almacenados.
Desactive las aplicaciones que tienen privilegios de administrador:
Si una aplicación maliciosa obtiene privilegios de administrador, puede dañar gravemente el sistema. Para mantener el dispositivo lo más seguro posible, siempre debes comprobar qué aplicaciones tienen esos privilegios y desactivar las que no deberían tenerlos.
Ve a «Configuración», desplázate hacia abajo hasta que veas «Pantalla de bloqueo y seguridad» y pulsa sobre ella.
Desplácese hacia abajo hasta que vea «Otros ajustes de seguridad», pulse sobre él y, a continuación, pulse «Aplicaciones de administración del dispositivo».
Identifique las aplicaciones que no deberían tener privilegios de administrador, púlsele y, a continuación, pulse «DESACTIVAR».
Preguntas frecuentes (FAQ)
Mi dispositivo está infectado con el malware Herodotus, ¿debo formatear mi dispositivo de almacenamiento para eliminarlo?
Al formatear el dispositivo se eliminará Herodotus, pero también se borrarán todos los archivos y datos del disco. Para evitar la pérdida de datos, se recomienda probar primero un programa antivirus o de eliminación de malware de confianza, como Combo Cleaner.
¿Cuáles son los mayores problemas que puede causar el malware?
Los atacantes pueden utilizar malware para recopilar datos personales y bancarios, dañar o corromper sistemas, bloquear archivos con cifrado, tomar el control remoto, instalar más cargas útiles y mucho más. Esto puede provocar pérdidas económicas, robo de identidad, pérdida de datos y otros problemas.
¿Cuál es el propósito de Heródoto?
Herodotus es un troyano bancario para Android que abusa de los permisos de accesibilidad para obtener el control remoto total de los dispositivos infectados. Roba credenciales y 2FA (a través de superposiciones falsas y robo de SMS), extrae listas de aplicaciones para atacar a las víctimas, inyecta entradas para completar transacciones fraudulentas y mantiene la persistencia.
¿Cómo se infiltró Heródoto en mi dispositivo?
Herodotus infecta a los usuarios cuando descargan un dropper desde un enlace SMS engañoso. El dropper instala y ejecuta el malware, que a menudo se hace pasar por una aplicación bancaria legítima.
¿Combo Cleaner me protegerá contra el malware?
Combo Cleaner puede detectar y eliminar casi todo el malware conocido. Sin embargo, las amenazas avanzadas suelen ocultarse en lo más profundo del sistema, por lo que es esencial realizar un análisis completo del sistema.
Compartir:
Facebook
X.com
LinkedIn
Copiar enlace
Tomas Meskauskas
Investigador experto en seguridad, analista profesional de malware
Me apasiona todo lo relacionado con seguridad informática y tecnología. Me avala una experiencia de más de 10 años trabajando para varias empresas de reparación de problemas técnicos y seguridad on-line. Como editor y autor de PCrisk, llevo trabajando desde 2010. Sígueme en Twitter y LinkedIn para no perderte nada sobre las últimas amenazas de seguridad en internet.
El portal de seguridad PCrisk es ofrecido por la empresa RCS LT.
Investigadores de seguridad han unido fuerzas para ayudar a educar a los usuarios de ordenadores sobre las últimas amenazas de seguridad en línea. Más información sobre la empresa RCS LT.
Nuestras guías de desinfección de software malicioso son gratuitas. No obstante, si desea colaborar, puede realizar una donación.
DonarEl portal de seguridad PCrisk es ofrecido por la empresa RCS LT.
Investigadores de seguridad han unido fuerzas para ayudar a educar a los usuarios de ordenadores sobre las últimas amenazas de seguridad en línea. Más información sobre la empresa RCS LT.
Nuestras guías de desinfección de software malicioso son gratuitas. No obstante, si desea colaborar, puede realizar una donación.
Donar
▼ Mostrar discusión