🛡 概要
新しいAndroidマルウェアファミリーHerodotusは、入力ルーチンにランダムな遅延を注入してモバイルデバイス上で人間の行動を模倣し、セキュリティソフトウェアによるタイミングベースの検出を回避します。このマルウェアは、経済的な動機を持つサイバー犯罪者に向けてマルウェア・アズ・ア・サービス(MaaS)として提供されており、Brokewellの背後にいると考えられる同じオペレーターによって運営されています。現在、Herodotusはまだ開発中ですが、MaaSプラットフォームのクライアントはSMSフィッシング(smishing)を通じて、イタリアとブラジルのユーザーに対して展開しています。
🔍 技術詳細
Herodotusによって送信される悪意のあるSMSには、主要なペイロードをインストールするカスタムドロッパーへのリンクが含まれています。このドロッパーは、Android 13以降に存在するアクセシビリティ許可の制限を回避しようとします。ドロッパーはアクセシビリティ設定を開き、ユーザーにサービスを有効にするよう促し、バックグラウンドで許可を付与するステップを隠すフェイクのロード画面を表示します。許可を付与した後、Herodotusは特定の画面座標をタップしたり、スワイプしたり、戻ったり、テキストを入力したりすることができます。しかし、ユーザーインターフェース上での自動アクションは、人間のリズムやペースと一致しない場合があり、異常な行動パターンを探しているセキュリティソフトウェアにとっては目立つ存在となります。
⚠ 影響
Herodotusは、ランダムな遅延を持つテキスト入力アクションを含む「ヒューマナイザー」メカニズムを実装しており、0.3秒から3秒の間隔で入力を模倣することで検出を回避しています。このようなランダムな遅延の導入は、ユーザーがテキストを入力する際の行動に合致するものであり、行動のみの詐欺防止ソリューションによる機械的なスピードの検出を避けるために意図されています。Threat Fabricによると、Herodotusは複数の脅威アクターによって広まっており、現在すでに7つの異なるサブドメインの検出に基づいて、その採用が進んでいることが示されています。
🛠 対策
Androidユーザーは、Google Play以外からAPKファイルをダウンロードすることを避け、発行者を明示的に信頼しない限りはインストールしないことが重要です。また、Play Protectがデバイスでアクティブであることを確認する必要があります。これらの予防策を講じても、リスクの高いアプリに対しては、アクセシビリティなどの許可を慎重に見直し、取り消すことが不可欠です。Herodotusのような新たな脅威に対抗するためには、ユーザー自身の行動が最も重要です。
