新しいAndroidマルウェアファミリー「Herodotus」は、入力処理にランダムな遅延を注入することで、モバイルデバイス上で人間の行動を模倣し、セキュリティソフトウェアによるタイミングベースの検知を回避します。
Threat Fabricによると、Herodotusはマルウェア・アズ・ア・サービス(MaaS)として金銭目的のサイバー犯罪者に提供されており、Brokewellの背後にいると考えられている同じ運営者によるものとみられています。
このマルウェアはまだ開発中ですが、新しいMaaSプラットフォームのクライアントは現在、SMSフィッシング(スミッシング)テキストメッセージを通じてイタリアとブラジルのユーザーを標的に配布しています。
出典: Threat Fabric
悪意のあるSMSには、主要なペイロードをインストールし、Android 13以降で導入されたアクセシビリティ権限制限を回避しようとするカスタムドロッパーへのリンクが含まれています。
ドロッパーはアクセシビリティ設定を開き、ユーザーにサービスの有効化を促し、その後、偽のロード画面を表示するオーバーレイウィンドウを表示して、権限付与の手順をバックグラウンドで隠します。
これらの機密性の高い権限へのアクセスを自らに付与した後、HerodotusはAndroidのユーザーインターフェースと対話できるようになり、特定の画面座標をタップしたり、スワイプしたり、戻る操作やテキスト入力(クリップボード貼り付けやキーボード入力)などが可能になります。
しかし、ユーザーインターフェース上での自動化された操作、例えばタイピングなどは、人間と同じリズムやテンポにならないことが多く、不審な行動パターンを検知するセキュリティソフトウェアに発見されやすくなります。
検知を回避するために、このマルウェアはテキスト入力操作に「ヒューマナイザー」機構を組み込み、0.3秒から3秒のランダムな遅延を挿入して人間のタイピングを模倣し、検知を逃れます。
「このようなテキスト入力イベント間の遅延のランダム化は、ユーザーがテキストを入力する方法と一致します」とThreat Fabricは説明しています。
「入力を意図的にランダムな間隔で遅延させることで、攻撃者はテキスト入力の機械的な速度を検知する行動ベースの不正対策ソリューションによる発見を回避しようとしている可能性が高いです。」
出典: Threat Fabric
Threat Fabricによれば、Androidマルウェアにおける遅延は通常、アプリのUIが入力に応答するのを待ってから次の操作に移るために使われますが、Herodotusのランダム化された遅延は全く新しいアプローチであり、行動検知システムの回避を目的として実装された可能性が高いとしています。
上記の機能に加え、Herodotusは運用者に以下の機能も提供します:
- カスタムSMSテキストのオプションを備えたコントロールパネル
- 銀行や暗号資産アプリを模倣したオーバーレイページによるアカウント認証情報の窃取
- 被害者から詐欺行為を隠す不透明なオーバーレイ
- 二要素認証コードを傍受するSMSスティーラー
- 画面コンテンツのキャプチャ
出典: Threat Fabric
現在、Threat Fabricは、7つの異なるサブドメインが検出されたことから、Herodotusが複数の脅威アクターによって拡散されており、すでに実際の攻撃で採用が始まっていると報告しています。
このリスクを軽減するために、AndroidユーザーはGoogle Play以外からAPKファイルをダウンロードしないようにし、発行元を明確に信頼できる場合を除き、Play Protectがデバイスで有効になっていることを確認してください。
これらの対策を講じていても、新たにインストールしたアプリに対してアクセシビリティなどのリスクの高い権限を慎重に確認し、不要な場合は取り消すことが重要です。
