- Herodotusマルウェアは、人間のタイピングを模倣してタイミングベースのウイルス対策検知を回避
- SMSフィッシング経由で拡散し、偽の画面や権限バイパスを使って静かにインストールされる
- 研究者はAndroidユーザーにPlay Protectの利用と非公式アプリソースの回避を推奨
モバイル用ウイルス対策プログラムが悪意のある活動を検知する方法の一つは、いわゆる「タイミングベース」の検知です。
マルウェアが自分自身にさまざまなAndroid権限を付与したり、アプリをダウンロードしたり、他の操作(タップ、スワイプ、スクロールなど)を行う際、人間とは異なり自動化されたロボットのような方法で行われます。人間の場合は通常、不均一な間隔やさまざまな一時停止があります。
ウイルス対策プログラムは、これらの異常な行動パターンを検知し、それによって潜在的なマルウェアを特定できます。しかし、Herodotusには通用しません。
Herodotus
セキュリティ研究者のThreat Fabricは最近、有名なギリシャの歴史家にちなんで名付けられた新しいAndroidマルウェアを発見しました。このマルウェアには、テキスト入力のための「ヒューマナイザー」機構が組み込まれています。
この機構は、実際の人間がタイピングするように、0.3秒から3秒のランダムな遅延を生成します。
「このようなテキスト入力イベント間の遅延のランダム化は、ユーザーがテキストを入力する方法と一致します」とThreat Fabricはレポートで述べています。「入力を意図的にランダムな間隔で遅延させることで、攻撃者はテキスト入力の機械的な速度を検知する行動ベースのアンチフラウドソリューションによる検出を回避しようとしていると考えられます。」
Herodotusは現在、マルウェア・アズ・ア・サービス(MaaS)としてサイバー犯罪者に提供されており、まだ開発中ではあるものの、すでに実際に使用されています。
Threat Fabricによると、イタリアとブラジルの一部のAndroidユーザーがすでに感染しており、攻撃はSMSフィッシング(スミッシング)から始まったと警告しています。
SMSには、被害者にカスタムドロッパーへのリンクが記載されており、これがメインのペイロードをインストールし、アクセシビリティ権限の制限を回避しようとします。成功すると、被害者に偽のローディング画面を表示し、その裏でマルウェアをインストールします。
研究者によれば、現在複数の脅威アクターがHerodotusのサービスを利用しており、Androidユーザーに対して信頼できるソース(例えばPlayストアなど)からのみアプリをダウンロードするよう強く勧めています。さらに、Play Protectを有効にし、新しくインストールしたアプリのリスクのある権限を取り消すよう呼びかけています。
