Netcrook Logo
👤 CIPHERWARDEN
🗓️ 30 Oct 2025   🗂️ Threats    

Incontra Erodoto: il trojan Android che digita come te - e ti ruba i soldi

Un nuovo malware imita la digitazione umana per ingannare i sistemi antifrode, minacciando banche, portafogli crypto e milioni di utenti in tutto il mondo.

In breve

  • Erodoto è un nuovo trojan bancario per Android che imita la digitazione umana per eludere i sistemi di rilevamento.
  • È stato individuato mentre prendeva di mira utenti in Italia, Brasile, Stati Uniti, Regno Unito, Turchia e Polonia.
  • Il malware viene distribuito tramite app false e phishing via SMS, spesso camuffato da app bancarie o di sicurezza legittime.
  • Erodoto abusa delle funzionalità di accessibilità di Android per rubare credenziali e prendere il controllo remoto dei dispositivi.
  • Gli esperti di sicurezza avvertono che malware “umanizzati” come Erodoto rappresentano una sfida crescente per banche e fornitori di pagamenti.

Il trojan che ha imparato a digitare come te

Immagina questa scena: stai controllando la tua app bancaria sul telefono, ignaro che un intruso silenzioso ti sta osservando - e aspettando. Ma a differenza dei borseggiatori digitali del passato, questo nuovo ladro non si limita a colpire e fuggire. Invece, si insinua nel tuo dispositivo, studia come digiti e poi imita ogni tua pressione di tasto. Questo è Erodoto, l’ultimo trojan bancario per Android che sta riscrivendo le regole delle rapine digitali.

Scoperto dalla società olandese di cybersecurity ThreatFabric, Erodoto è già stato individuato in campagne attive in Italia e Brasile, dove si spaccia per app come “Banca Sicura” e “Modulo Seguranca Stone”. La sua diffusione è in crescita: sono stati trovati overlay che prendono di mira banche e piattaforme di criptovalute anche negli Stati Uniti, Regno Unito, Turchia e Polonia.

Come Erodoto inganna le difese

La maggior parte dei malware bancari oggi cerca di rubare le tue credenziali di accesso mostrando schermate false e intercettando codici temporanei. Erodoto fa tutto questo, ma aggiunge una novità: quando l’operatore prende il controllo remoto di un dispositivo infetto, non compila i moduli alla velocità di un computer. Invece, “digita” ogni lettera con pause casuali da 0,3 a 3 secondi, proprio come una persona reale. Il risultato? I sistemi antifrode progettati per individuare interazioni robotiche e fulminee vengono ingannati e credono che tutto sia normale.

Questo approccio umano è una risposta diretta all’uso crescente da parte delle banche delle “biometrie comportamentali” - sistemi che analizzano come interagisci con il dispositivo, fino al ritmo della tua digitazione. Imitando il tuo ritmo naturale, Erodoto supera i checkpoint digitali che avrebbero bloccato malware meno sofisticati.

Dai forum underground alle campagne globali

Erodoto è apparso per la prima volta in vendita sui forum underground nel settembre 2025, offerto come pacchetto “malware-as-a-service” per hacker senza particolari competenze tecniche. Il codice prende in prestito tecniche da trojan precedenti come Brokewell, inclusi metodi avanzati per nascondersi e manipolare le funzionalità di accessibilità di Android. Una volta installato - spesso tramite phishing SMS che induce l’utente a scaricare una falsa app - Erodoto può concedersi permessi, intercettare tutto il contenuto dello schermo, rubare codici di autenticazione a due fattori e persino ottenere il PIN del dispositivo.

Non si tratta di un caso isolato. Minacce simili come GhostGrab sono emerse, prendendo di mira utenti in India e combinando il furto di credenziali con il mining occulto di criptovalute. La corsa agli armamenti tra malware mobile e difensori si sta intensificando, con entrambe le parti che cercano di superarsi a vicenda con nuove tecniche e tattiche.

La posta in gioco: una corsa contro malware sempre più intelligenti

Con la diffusione globale dei pagamenti e delle operazioni bancarie su mobile, malware come Erodoto segnano un cambiamento pericoloso. I cybercriminali non si accontentano più di tattiche rozze, ma progettano attacchi che si confondono nella folla digitale, aggirando proprio le misure di sicurezza su cui le banche fanno affidamento. Gli esperti avvertono che per combattere queste minacce “umanizzate” non basta più osservare la velocità di digitazione - serve monitorare l’intero ambiente del dispositivo e restare sempre un passo avanti su ogni fronte.

Per gli utenti comuni, il messaggio è chiaro: attenzione ai download di app inaspettati, soprattutto da link SMS, e mantenete il dispositivo aggiornato. Per banche e team di sicurezza, Erodoto è un campanello d’allarme - il malware di oggi sta imparando ogni vostra mossa, e quello di domani potrebbe essere ancora più intelligente.

WIKICROOK

  • Trojan bancario: Un trojan bancario è un malware che prende di mira i dati finanziari rubando credenziali bancarie e informazioni personali, spesso imitando app affidabili.
  • Biometrie comportamentali: Le biometrie comportamentali analizzano schemi unici dell’utente, come la velocità di digitazione o i gesti, per verificare l’identità e rilevare attività sospette o fraudolente.
  • Funzionalità di accessibilità: Le funzionalità di accessibilità sono impostazioni dei dispositivi che aiutano gli utenti con disabilità, ma possono anche essere sfruttate dai malware per controllare o monitorare i dispositivi.
  • Attacco overlay: Un attacco overlay utilizza schermate false sovrapposte alle app reali per indurre gli utenti a inserire dati sensibili come password o PIN, consentendo il furto di credenziali.
  • Malware: Il malware è un software dannoso progettato per infiltrarsi, danneggiare o rubare dati da dispositivi informatici senza il consenso dell’utente.
CIPHERWARDEN CIPHERWARDEN
Cyber Encryption Architect
← Back to news