概要:巧妙な検出回避メカニズム
新たなAndroidマルウェアファミリー「Herodotus」が、モバイルデバイス上での人間のような動作を模倣し、セキュリティソフトウェアによるタイミングベースの検出を回避するために、入力ルーチンにランダムな遅延を注入していることが明らかになりました。Threat Fabricによると、Herodotusは「サービスとしてのマルウェア(MaaS)」として提供されており、金融目的のサイバー犯罪者に利用されています。このマルウェアは、Brokewellの背後にいるのと同じオペレーターによるものと考えられています。
Herodotusはまだ開発段階にあるものの、この新しいMaaSプラットフォームのクライアントは、現在、SMSフィッシング(スミッシング)のテキストメッセージを通じて、イタリアとブラジルのユーザーを標的に展開しています。
感染経路と権限昇格
悪意のあるSMSには、カスタムドロッパーへのリンクが含まれており、これがプライマリペイロードをインストールし、Android 13以降に存在するアクセシビリティ権限の制限を回避しようとします。ドロッパーはアクセシビリティ設定を開き、ユーザーにサービスを有効にするよう促した後、偽の読み込み画面を表示するオーバーレイウィンドウを表示し、バックグラウンドでの権限付与手順を隠蔽します。
Herodotusの主な機能
これらの機密性の高い権限へのアクセスを自身に付与した後、HerodotusはAndroidのユーザーインターフェースと対話できるようになります。具体的には、特定の画面座標でのタップ、スワイプ、戻る操作、テキスト入力(クリップボードからの貼り付けまたはキーボード入力)などが可能です。しかし、タイピングなどの自動化されたアクションは、人間と同じリズムやリズムに合致しない場合があり、行動パターンを監視するセキュリティソフトウェアに気づかれる可能性があります。
検出を回避するため、このマルウェアにはテキスト入力アクション用の「ヒューマナイザー」メカニズムが組み込まれており、0.3秒から3秒のランダムな遅延を伴ってタイピングすることで、人間のタイピングを模倣し、検出を回避します。Threat Fabricは、「テキスト入力イベント間のこのようなランダムな遅延は、ユーザーがテキストを入力する方法と一致する」と説明しています。「意図的にランダムな間隔で入力を遅らせることで、攻撃者は機械のようなテキスト入力速度を検出する行動ベースの不正防止ソリューションによる検出を回避しようとしている可能性が高い」と述べています。
Herodotusは上記の機能に加えて、オペレーターに以下の機能も提供します:
- カスタムSMSテキストのオプションを備えたコントロールパネル
- アカウント認証情報を盗むための銀行アプリや仮想通貨アプリを模倣したオーバーレイページ
- 被害者から不正行為を隠す不透明なオーバーレイ
- 二要素認証コード傍受のためのSMSスティール機能
- 画面コンテンツのキャプチャ
拡散状況と対策
現在、Threat Fabricは、7つの異なるサブドメインの検出に基づき、Herodotusが複数の脅威アクターによって拡散されていると報告しており、その採用がすでに始まっていることを示しています。
このリスクを軽減するために、Androidユーザーは、発行元を明示的に信頼しない限り、Google Play以外からAPKファイルをダウンロードすることを避けるべきです。また、デバイスでPlayプロテクトが有効になっていることを確認することが不可欠です。これらの予防措置を講じたとしても、新しくインストールされたアプリのアクセシビリティなどの危険な権限を精査し、取り消すことが重要です。