Come eliminare Herodotus dai dispositivi Android infetti

Che tipo di malware è Herodotus?

Herodotus è un malware per Android che prende il controllo dei dispositivi e cerca di imitare le azioni umane reali per eludere i controlli di sicurezza basati sul comportamento. È già stato utilizzato in attacchi in Italia e Brasile ed è già stato annunciato un modello Malware-as-a-Service. Ci sono indicazioni che il malware potrebbe avere funzionalità aggiuntive in futuro.

Erodoto in dettaglio

Herodotus viene distribuito tramite sideloading, spesso tramite messaggi SMS che attirano le vittime verso un link dannoso, che distribuisce un dropper. Una volta eseguito, il dropper installa il payload in modo da eludere le restrizioni di Android 13 (e versioni successive) sui servizi di accessibilità. Il dropper avvia Herodotus e apre le impostazioni di accessibilità per spingere la vittima ad abilitarlo.

Una volta ottenuta l'autorizzazione, Herodotus mostra una finta schermata di caricamento per nascondere l'abuso dei permessi, quindi si prepara a rubare le credenziali e a prendere il controllo del dispositivo. Inoltre, invia l'elenco delle app installate al suo C2, riceve obiettivi specifici e pagine sovrapposte e attende che la vittima apra una di quelle app, dove visualizzerà una finta schermata di accesso per rubare i dettagli di accesso.

Con Herodotus, i criminali informatici possono toccare elementi, premere punti specifici dello schermo, digitare testo, scorrere e utilizzare pulsanti di sistema come "Indietro", "Home" e "Recenti", ottenendo così la piena interazione remota con il dispositivo. Ciò consente loro di rubare denaro completando transazioni sull'account della vittima.

Quando i criminali inseriscono del testo sul dispositivo della vittima, possono digitarlo manualmente utilizzando la tastiera del dispositivo o inserirlo direttamente nei campi di immissione. La digitazione manuale è lenta, quindi molti trojan bancari utilizzano l'inserimento diretto del testo per garantire che il testo corretto venga inserito istantaneamente.

Tuttavia, questo metodo può sembrare innaturale e attivare i sistemi antifrode, quindi Herodotus cerca di nasconderlo suddividendo il testo in singoli caratteri e inserendo ritardi casuali.

Inoltre, Herodotus può mostrare una sovrapposizione di blocco, una schermata falsa posizionata sopra l'interfaccia utente reale che nasconde l'attività fraudolenta alla vittima, pur rimanendo parzialmente visibile all'autore dell'attacco. Un comando di sovrapposizione separato prende di mira le app bancarie, tenendo le vittime lontane dall'app in modo che non vedano le transazioni né contattino la loro banca.

Herodotus può anche mostrare finte sovrapposizioni che rubano credenziali, rubano SMS per ottenere codici 2FA ed eseguire keylogging basato sull'accessibilità per acquisire i dati sullo schermo. Inoltre, il malware può sbloccare dispositivi infetti, gestire file, acquisire PIN, password e dati biometrici, installare APK remoti e mantenere la persistenza.

Herodotus si è mascherato da Banca Sicura in Italia e Modulo Seguranca Stone in Brasile per indurre le vittime a installarlo. Sebbene non siano stati ancora confermati altri attacchi attivi, alcune sovrapposizioni indicano che Herodotus si sta preparando a colpire banche e piattaforme crittografiche negli Stati Uniti, in Turchia, nel Regno Unito e in Polonia.

Conclusione

Herodotus è un sofisticato trojan bancario per Android che aggira le moderne protezioni di accessibilità per ottenere il controllo persistente dei dispositivi infetti. Combina falsi overlay, intercettazione di SMS, registrazione dello schermo e funzionalità di controllo remoto per rubare credenziali ed eseguire transazioni non autorizzate.

Se rilevato su un dispositivo, Herodotus deve essere rimosso il prima possibile. Alcuni esempi di altri trojan bancari che prendono di mira gli utenti Android sono Klopatra, Datzbro e RedHook.

Come ha fatto Erodoto a infiltrarsi nel mio dispositivo?

Gli utenti vengono solitamente infettati tramite sideloading. Le vittime ricevono un SMS ingannevole che include un link a un dropper dannoso, che la vittima scarica e installa. Il dropper installa e avvia quindi Herodotus. È noto che Herodotus spesso si maschera da app bancaria (ad esempio, Banca Sicura o Modulo Seguranca Stone).

Come evitare l'installazione di malware?

Scarica le app solo da fonti affidabili come Google Play, Apple App Store o siti web ufficiali. Aggiorna regolarmente il sistema operativo e le applicazioni installate. Utilizza software di sicurezza mobile affidabili. Evita di cliccare sui link contenuti in e-mail, SMS o messaggi sui social media sospetti.

Inoltre, non cliccare su link, annunci pubblicitari, pop-up, pulsanti, ecc. presenti su siti web sospetti.

Una finestra sovrapposta falsa visualizzata dal malware (fonte: threatfabric.com):

Pannello di amministrazione (fonte: threatfabric.com):

Menu rapido:

• Introduzione
• Come eliminare la cronologia di navigazione dal browser Chrome?
• Come disattivare le notifiche del browser nel browser web Chrome?
• Come reimpostare il browser web Chrome?
• Come eliminare la cronologia di navigazione dal browser Firefox?
• Come disattivare le notifiche del browser nel browser web Firefox?
• Come ripristinare il browser web Firefox?
• Come disinstallare applicazioni potenzialmente indesiderate e/o dannose?
• Come avviare il dispositivo Android in "Modalità provvisoria"?
• Come controllare l'utilizzo della batteria da parte delle varie applicazioni?
• Come controllare l'utilizzo dei dati delle varie applicazioni?
• Come installare gli ultimi aggiornamenti software?
• Come ripristinare le impostazioni predefinite del sistema?
• Come disabilitare le applicazioni che dispongono dei privilegi di amministratore?

Elimina la cronologia di navigazione dal browser Chrome:

Tocca il pulsante "Menu" (tre puntini nell'angolo in alto a destra dello schermo) e seleziona "Cronologia" nel menu a tendina che si apre.

Tocca "Cancella dati di navigazione", seleziona la scheda "AVANZATE", scegli l'intervallo di tempo e i tipi di dati che desideri eliminare e tocca "Cancella dati".

[Torna al Sommario]

Disattiva le notifiche del browser nel browser web Chrome:

Tocca il pulsante "Menu" (tre puntini nell'angolo in alto a destra dello schermo) e seleziona "Impostazioni" nel menu a tendina che si apre.

Scorri verso il basso fino a visualizzare l'opzione "Impostazioni sito" e toccala. Scorri verso il basso fino a visualizzare l'opzione "Notifiche" e toccala.

Trova i siti web che inviano notifiche al browser, toccali e clicca su "Cancella e ripristina". In questo modo verranno rimossi i permessi concessi a questi siti web per l'invio di notifiche. Tuttavia, quando visiterai nuovamente lo stesso sito, potrebbe chiederti nuovamente il permesso. Puoi scegliere se concedere o meno queste autorizzazioni (se scegli di rifiutare, il sito web passerà alla sezione "Bloccato" e non ti chiederà più l'autorizzazione).

[Torna al Sommario]

Reimposta il browser web Chrome:

Vai su "Impostazioni", scorri verso il basso fino a visualizzare "App" e toccalo.

Scorri verso il basso fino a trovare l'applicazione "Chrome", selezionala e tocca l'opzione "Memoria".

Tocca "GESTISCI MEMORIA", quindi "CANCELLA TUTTI I DATI" e conferma l'azione toccando "OK". Tieni presente che il ripristino del browser eliminerà tutti i dati memorizzati al suo interno. Ciò significa che tutti i login/password salvati, la cronologia di navigazione, le impostazioni non predefinite e altri dati verranno cancellati. Dovrai inoltre effettuare nuovamente il login a tutti i siti web.

[Torna al Sommario]

Elimina la cronologia di navigazione dal browser web Firefox:

Tocca il pulsante "Menu" (tre puntini nell'angolo in alto a destra dello schermo) e seleziona "Cronologia" nel menu a tendina che si apre.

Scorri verso il basso fino a visualizzare "Cancella dati privati" e toccalo. Seleziona i tipi di dati che desideri rimuovere e tocca "CANCELLA DATI".

[Torna al Sommario]

Disattiva le notifiche del browser nel browser web Firefox:

Visita il sito web che invia le notifiche del browser, tocca l'icona visualizzata a sinistra della barra degli indirizzi (l'icona non sarà necessariamente un "Lucchetto") e seleziona "Modifica impostazioni sito".

Nel pop-up aperto, seleziona l'opzione "Notifiche" e tocca "CANCELLA".

[Torna al Sommario]

Reimposta il browser web Firefox:

Vai su "Impostazioni", scorri verso il basso fino a visualizzare "App" e toccalo.

Scorri verso il basso fino a trovare l'applicazione "Firefox", selezionala e tocca l'opzione "Memoria".

Tocca "CANCELLA DATI" e conferma l'azione toccando "ELIMINA". Tieni presente che il ripristino del browser eliminerà tutti i dati memorizzati al suo interno. Ciò significa che tutti i login/password salvati, la cronologia di navigazione, le impostazioni non predefinite e altri dati verranno eliminati. Dovrai inoltre effettuare nuovamente il login a tutti i siti web.

[Torna al Sommario]

Disinstallare applicazioni potenzialmente indesiderate e/o dannose:

Vai su "Impostazioni", scorri verso il basso fino a visualizzare "App" e toccalo.

Scorri verso il basso fino a visualizzare un'applicazione potenzialmente indesiderata e/o dannosa, selezionala e tocca "Disinstalla". Se, per qualche motivo, non riesci a rimuovere l'app selezionata (ad esempio, viene visualizzato un messaggio di errore), prova a utilizzare la "Modalità provvisoria".

[Torna al Sommario]

Avvia il dispositivo Android in "Modalità provvisoria":

La "Modalità provvisoria" nel sistema operativo Android disabilita temporaneamente l'esecuzione di tutte le applicazioni di terze parti. L'utilizzo di questa modalità è un ottimo modo per diagnosticare e risolvere vari problemi (ad esempio, rimuovere applicazioni dannose che impediscono agli utenti di farlo quando il dispositivo funziona "normalmente").

Premere il pulsante "Accensione" e tenerlo premuto fino a quando non viene visualizzata la schermata "Spegnimento". Toccare l'icona "Spegnimento" e tenerla premuta. Dopo alcuni secondi apparirà l'opzione "Modalità provvisoria" che potrà essere eseguita riavviando il dispositivo.

[Torna al Sommario]

Controlla l'utilizzo della batteria delle varie applicazioni:

Vai su "Impostazioni", scorri verso il basso fino a visualizzare "Manutenzione dispositivo" e toccalo.

Tocca "Batteria" e controlla l'utilizzo di ciascuna applicazione. Le applicazioni legittime/autentiche sono progettate per consumare il minor quantitativo possibile di energia, al fine di garantire la migliore esperienza utente e risparmiare energia. Pertanto, un elevato utilizzo della batteria potrebbe indicare che l'applicazione è dannosa.

[Torna al Sommario]

Controlla l'utilizzo dei dati delle varie applicazioni:

Vai su "Impostazioni", scorri verso il basso fino a visualizzare "Connessioni" e toccalo.

Scorri verso il basso fino a visualizzare "Utilizzo dati" e seleziona questa opzione. Come per la batteria, le applicazioni legittime/autentiche sono progettate per ridurre al minimo l'utilizzo dei dati. Ciò significa che un utilizzo elevato dei dati può indicare la presenza di applicazioni dannose. Tieni presente che alcune applicazioni dannose potrebbero essere progettate per funzionare solo quando il dispositivo è connesso a una rete wireless. Per questo motivo, è necessario controllare sia l'utilizzo dei dati mobili che quello del Wi-Fi.

Se trovi un'applicazione che utilizza molti dati anche se non la usi mai, ti consigliamo vivamente di disinstallarla il prima possibile.

[Torna al Sommario]

Installa gli ultimi aggiornamenti software:

Mantenere il software aggiornato è una buona pratica quando si tratta della sicurezza dei dispositivi. I produttori di dispositivi rilasciano continuamente varie patch di sicurezza e aggiornamenti Android per correggere errori e bug che potrebbero essere sfruttati dai criminali informatici. Un sistema obsoleto è molto più vulnerabile, motivo per cui è necessario assicurarsi sempre che il software del dispositivo sia aggiornato.

Vai su "Impostazioni", scorri verso il basso fino a visualizzare "Aggiornamento software" e toccalo.

Tocca "Scarica aggiornamenti manualmente" e verifica se sono disponibili aggiornamenti. Se sì, installali immediatamente. Ti consigliamo inoltre di abilitare l'opzione "Scarica aggiornamenti automaticamente": in questo modo il sistema ti avviserà quando sarà disponibile un aggiornamento e/o lo installerà automaticamente.

[Torna al Sommario]

Ripristina il sistema alle impostazioni predefinite:

Eseguire un "ripristino delle impostazioni di fabbrica" è un ottimo modo per rimuovere tutte le applicazioni indesiderate, ripristinare le impostazioni predefinite del sistema e pulire il dispositivo in generale. Tuttavia, è necessario tenere presente che tutti i dati presenti nel dispositivo verranno eliminati, incluse foto, file video/audio, numeri di telefono (memorizzati nel dispositivo, non nella scheda SIM), messaggi SMS e così via. In altre parole, il dispositivo verrà ripristinato al suo stato originale.

È anche possibile ripristinare le impostazioni di sistema di base e/o semplicemente le impostazioni di rete.

Vai su "Impostazioni", scorri verso il basso fino a visualizzare "Informazioni sul telefono" e toccalo.

Scorri verso il basso fino a visualizzare "Ripristina" e toccalo. Ora scegli l'azione che desideri eseguire:
" Ripristina impostazioni" - ripristina tutte le impostazioni di sistema ai valori predefiniti;
"Ripristina impostazioni di rete" - ripristina tutte le impostazioni relative alla rete ai valori predefiniti;
"Ripristino dati di fabbrica" - ripristina l'intero sistema ed elimina completamente tutti i dati memorizzati;

[Torna al Sommario]

Disattiva le applicazioni che dispongono dei privilegi di amministratore:

Se un'applicazione dannosa ottiene privilegi di amministratore, può danneggiare gravemente il sistema. Per mantenere il dispositivo il più sicuro possibile, è necessario controllare sempre quali app dispongono di tali privilegi e disabilitare quelle che non dovrebbero averli.

Vai su "Impostazioni", scorri verso il basso fino a visualizzare "Blocco schermo e sicurezza" e toccalo.

Scorri verso il basso fino a visualizzare "Altre impostazioni di sicurezza", toccalo e poi tocca "App di amministrazione dispositivo".

Identifica le applicazioni che non dovrebbero avere privilegi di amministratore, toccale e poi tocca "DISATTIVA".

Domande frequenti (FAQ)

Il mio dispositivo è stato infettato dal malware Herodotus, devo formattare il mio dispositivo di archiviazione per eliminarlo?

La formattazione del dispositivo rimuoverà Herodotus, ma cancellerà anche tutti i file e i dati presenti sul disco. Per evitare la perdita di dati, si consiglia di provare prima un programma antivirus o di rimozione malware affidabile, come Combo Cleaner.

Quali sono i problemi più gravi che possono causare i malware?

Gli aggressori possono utilizzare malware per raccogliere dati personali e bancari, danneggiare o corrompere i sistemi, bloccare i file con la crittografia, assumere il controllo remoto, installare ulteriori payload e altro ancora. Ciò può comportare perdite economiche, furti di identità, perdita di dati e altri problemi.

Qual è lo scopo di Erodoto?

Herodotus è un trojan bancario per Android che abusa delle autorizzazioni di accessibilità per ottenere il controllo remoto completo dei dispositivi infetti. Ruba credenziali e 2FA (tramite falsi overlay e furto di SMS), sottrae elenchi di app per individuare le vittime, inserisce dati per completare transazioni fraudolente e mantiene la persistenza.

Come ha fatto Erodoto a infiltrarsi nel mio dispositivo?

Herodotus infetta gli utenti quando questi scaricano un dropper da un link SMS ingannevole. Il dropper installa e avvia il malware, che spesso si presenta come un'app bancaria legittima.

Combo Cleaner mi proteggerà dai malware?

Combo Cleaner è in grado di rilevare e rimuovere quasi tutti i malware conosciuti. Tuttavia, le minacce avanzate spesso si nascondono in profondità nel sistema, quindi è essenziale eseguire una scansione completa del sistema.