概要:行動生体認証を欺く新型マルウェア
「Herodotus」と名付けられた新たなAndroidバンキング型トロイの木馬が、モバイルユーザーにとって重大な脅威として浮上しています。このマルウェアは、人間がタイピングするパターンを模倣することで、行動生体認証による検出システムを回避するという画期的なアプローチを導入しています。テキスト入力間に300ミリ秒から3,000ミリ秒というランダムな時間間隔を設けることで、本物のユーザー行動をシミュレートします。
ThreatFabricのモバイル脅威インテリジェンスチームが、悪意のある配布インフラの監視中に発見したHerodotusは、デバイス乗っ取り攻撃の懸念すべき進化を示しており、脅威アクター「K1R0」によって開発中のMalware-as-a-Service(MaaS)として提供されています。この自動化された行動の意図的な人間化は、サイバー犯罪者が行動パターンやキーストロークのダイナミクスを分析する、ますますインテリジェントな不正検出システムを回避しようと積極的に取り組んでいることを示唆しています。
Herodotusの動作メカニズム
Herodotusは、ドロッパーアプリケーションを配布するSMiShingキャンペーンから始まる多段階の感染チェーンを通じて動作します。一度インストールされると、マルウェアは偽の読み込み画面を表示してユーザーから実際の権限付与を隠蔽し、アクセシビリティサービス権限を要求します。これらの昇格された特権を獲得した後、トロイの木馬はインストールされているパッケージを収集し、MQTTプロトコルを介してコマンド&コントロール(C2)インフラと通信し、ターゲット指示や認証情報収集のためのオーバーレイページを受け取ります。
人間のような入力による検出回避
Herodotusが既存のバンキングマルウェアと異なる点は、リモート制御セッション中に人間のように振る舞うことを意識的に努力している点です。行動分析エンジンが機械生成と容易に識別できるような高速な自動入力や直接的なテキスト設定方法を使用するのではなく、Herodotusはテキスト入力を個々の文字に分割し、各キーストローク間にランダムな遅延を導入します。この洗練された技術は、デバイス乗っ取り攻撃の指標として入力タイミングを測定する行動ベースの不正対策ソリューションを直接的に標的としています。
マルウェアのオペレーターは、「SEND 1」と「SEND 2」という特定のボタンと「Delayed text」チェックボックスを備えたコントロールパネルにアクセスでき、入力が人間らしいか自動化されているかを細かく制御できます。この意図的な機能は、開発者が現代の不正検出システムの動作を理解し、それを回避することにコミットしていることを示しています。
グローバルキャンペーンと技術的背景
モバイル脅威インテリジェンスの研究者たちは、イタリアとブラジルで活発なHerodotusキャンペーンを観測しています。イタリアの亜種は「Banca Sicura」を装い、ブラジルの亜種はStone決済代行業者向けのセキュリティモジュールを装っています。遅延は300〜3000ミリ秒(0.3〜3秒)の範囲で指定されており、このようなテキスト入力イベント間のランダム化は、ユーザーがテキストを入力する方法と一致します。
研究者たちはまた、米国、トルコ、英国、ポーランドの金融機関や暗号通貨プラットフォームを標的としたオーバーレイページも発見しており、広範なキャンペーン準備が示唆されています。分析により、2024年4月に発見された別のバンキングマルウェアであるBrokewellとの重要な技術的つながりが明らかになっています。HerodotusはBrokewellの文字列暗号化技術を取り入れ、前身マルウェアからモジュールを動的にロードし、要素クリックや座標ベースのインタラクションのための特定のメソッドを呼び出しています。しかし、現在の実装ではBrokewellのより広範な機能を完全に活用できていないため、Herodotusの開発者は完全なコードベースではなく、部分的なソースコードにアクセスしている可能性があります。
金融セキュリティへの影響
Herodotusの出現は、主にインタラクションのテンポやキーストロークの速さの分析に依存する不正検出戦略における重大な脆弱性を浮き彫りにしています。行動生体認証はセキュリティアーキテクチャの貴重な要素であり続けますが、このマルウェアは、そのような防御策が単独で機能できないことを示しています。金融機関は、ユーザー行動パターンだけでなく、デバイス環境の指標も分析する多層的な検出アプローチを採用し、マルウェアオペレーターがインタラクションパターンをいかに巧みに操作しても、侵害されたデバイスを特定できるシステムを構築する必要があります。
Herodotusが活発な開発を続け、MaaSチャネルを通じてグローバルな存在感を拡大するにつれて、組織はますます高度化する攻撃者の一歩先を行くために、脅威検出能力を進化させる必要があります。