新たな脅威「Herodotus」の出現
モバイルバンキングの分野に新たな脅威が出現しました。それは、ここ数週間猛威を振るっている高度なAndroidバンキング型トロイの木馬「Herodotus」です。悪名高いMaaS(Malware-as-a-Service)モデルで提供されるHerodotusは、ソーシャルエンジニアリングと技術的な欺瞞を悪用し、従来のアンチウイルスソリューションによる検出を回避し、ユーザーの金融データを深刻な危険にさらしています。
Herodotusの巧妙な手口
Herodotusは主に、正規の警告やサービスメッセージを装ったSMSフィッシングキャンペーンを通じて被害者を狙います。不審に思わないユーザーは、偽のウェブページに誘導するリンクを受け取り、そこでAPKをダウンロードするよう指示されます。このプロセスは、公式Playストアの安全な環境外で行われます。このストア外からのインストール自体が重大な危険信号ですが、多くの従来の防御策では検出されません。
一度インストールされると、Herodotusは直ちに一連の重要なデバイス権限、特に強力なアクセシビリティ権限を要求します。この高いアクセス権限を利用して、マルウェアは正規のバンキングアプリケーションの上に巧妙な偽の画面を重ね合わせ、画面データとユーザーが入力したキーストロークの両方を捕捉します。これにより、トロイの木馬は被害者がログインしたままの状態で、リアルタイムでバンキング操作を密かに実行するセッション乗っ取り攻撃を行うことができます。
不正検出メカニズムや検出を回避するため、Herodotusは「人間化された」パターン、つまりランダムな遅延、微妙な動き、そして本物そっくりのタイピングシミュレーションを導入します。これらの行動は自動化の痕跡をほとんど見えなくし、従来の検出システムが悪意のある活動を特定することを極めて困難にしています。
アンチウイルスだけでは不十分な理由
Pradeoチームの研究により、アンチウイルスエンジンの限界が明らかになりました。主要なアンチウイルスプロバイダーは、基本的なオンライン検索で脅威が特定されたにもかかわらず、Herodotus APKに対して警告を発しませんでした。根本的な原因は、アンチウイルスソリューションが通常、既知の脅威に限定されたシグネチャベースおよび行動ベースのデータベースで動作することにあります。
Playストア以外のソースからダウンロードされた悪意のあるアプリは、特にインストールと権限承認後にのみ有害な動作がアクティブになる場合、検出を頻繁に回避します。Herodotusのシナリオでは、不審なSMSリンク、サードパーティ製アプリのインストール、機密性の高い権限要求、画面オーバーレイ、シミュレートされた操作といった侵害の兆候を連鎖させることによってのみ、攻撃を確実に特定できます。個々の信号は無害に見えるかもしれませんが、それらの連続は明確にアクティブな侵害を示しており、単独のアンチウイルスソリューションがこのような高度な脅威を見逃し続ける理由を説明しています。
Pradeoモバイル脅威防御(MTD)の重要性
現代の保護には、多層防御メカニズムが必要です。Pradeoのモバイル脅威防御(MTD)ソリューションは、デバイスの動作を継続的に監視し、あらゆる段階で攻撃を阻止することで際立っています。Herodotusキャンペーンは、モバイルセキュリティチームにとって重要な現実を浮き彫りにしています。それは、アンチウイルスソフトウェアが、ソーシャルエンジニアリング、非公式マーケットのソフトウェア、デバイス権限の悪用を組み合わせた攻撃に対して、今日の進化する脅威の状況に追いつけないということです。
Pradeoのアンチフィッシングモジュールは、フィッシングリンクをプロアクティブにブロックし、ユーザーが悪意のあるダウンロードページに到達するのを防ぎます。危険なストア外インストールが試みられた場合、Pradeo MTDは未知のソースを即座に検出し、侵害が発生する前にセキュリティ担当者に介入を警告します。決定的に重要なのは、このソリューションが機密性の高い権限に対するすべてのアプリケーション要求を監視することです。アクセシビリティや同様の重要な制御を求めるアプリケーションは、直ちにフラグが立てられ隔離され、攻撃がエスカレートする前に無力化されます。Pradeoはまた、ユーザーインターフェースの異常を監視し、オーバーレイを検出し、シミュレートされたインタラクションを監視し、不審な動作に関連するネットワーク活動を停止させます。危険の兆候があれば、機密性の高いアプリケーションは即座に保護されます。企業ユーザーと機密データを保護するためには、専門的なモバイル脅威防御(MTD)ソリューションの導入が、サイバーセキュリティにおける今や必要な標準となっています。