ヘロドトス モバイルマルウェア

セキュリティ研究者らは、Androidを標的とした新たなバンキング型トロイの木馬「Herodotus」を発見しました。このトロイの木馬は、アクティブデバイス乗っ取り（DTO）キャンペーンで利用されています。初期の活動はイタリアとブラジルのユーザーを標的としており、分析によると、このマルウェアはマルウェア・アズ・ア・サービス（MaaS）として提供されているようです。

偽のChromeドロッパー、スミッシング、サイドローディング

攻撃者は、正規アプリを偽装したドロッパーアプリケーション（com.cd3.appなどのパッケージ名でGoogle Chromeを装うと報告されている）を介してHerodotusを拡散し、SMSフィッシングやその他のソーシャルエンジニアリングの手法で被害者を誘い込みます。ドロッパーがインストールされると（多くの場合、サイドローディングによって）、悪意のあるペイロードを取得してインストールします。

ヘロドトスの能力

• Android アクセシビリティ サービスを悪用して、画面を制御したり、不透明なオーバーレイを表示したり、銀行や暗号通貨アプリの上に偽のログイン ページを表示したりします。
• 画面上のコンテンツと SMS メッセージ (2FA コードを含む) を傍受して盗み出します。
• 静的な資格情報を盗むだけでなく、追加の権限を付与したり、ロック画面の PIN やパターンをキャプチャしたり、リモート APK をインストールしたり、ライブ セッション内に留まったりします。
• キーストロークを記録し、画面をストリーミングし、リモート入力アクションを実行してアカウント乗っ取りを実行します。

行動検知装置を突破するために遠隔詐欺を「人間化」する

Herodotus の際立った特徴は、人間のインタラクションのタイミングを模倣しようとする点です。このマルウェアは、自動入力イベント間にランダムな遅延（報告されている遅延範囲は約300～3,000ミリ秒）を追加できるため、リモート入力は機械の速度ではなく、実際のユーザーの入力に近いように見えます。これは明らかに、タイミングや行動に基づく不正防止機能や生体認証検知を回避しようとする試みです。このタイミングのランダム化は、主に入力テンポやキーストロークのリズムに依存する防御策を意図的に破ろうとする試みであると説明されています。

ブロークウェルへの接続

分析により、Herodotus は単に Brokewell の新しいバージョンではなく、Brokewell や他のファミリーの技術やコード フラグメント (難読化手法や、「BRKWL_JAVA」などのマーカーなどのリテラル参照を含む) を再利用していることが判明しました。つまり、既知のコンポーネントを効果的に組み合わせて、活発に開発されている新しい亜種を作り出しているのです。

地理的範囲とターゲット

研究者たちは、米国、トルコ、英国、ポーランドの銀行、そして暗号通貨ウォレットや取引所向けにカスタマイズされたオーバーレイページを発見しました。これは、攻撃者が当初確認されたイタリアとブラジルの事例を超えて、標的の地域と業種を拡大している証拠です。このプロジェクトは現在も活発に開発が進められており、アンダーグラウンドフォーラムを通じて他の詐欺師たちに売り込まれています。

優先すべき実践的な行動

• 動作のみの不正防止ソリューションを階層化防御の 1 つのシグナルとして扱います。デバイスのポスチャ、整合性チェック (アクセシビリティの不正使用とサイドロードされたアプリの検出)、ネットワーク テレメトリ、トランザクション リスク スコアリングを組み合わせます。
• サイドローディングや不正なパッケージのインストールを検出してブロックし、エンドポイントでの疑わしいオーバーレイ ウィンドウやアクセシビリティ サービスの使用状況を監視します。
• 強力な多要素認証（可能な場合は SMS 経由のプッシュまたはハードウェア トークン）、デバイスの強化、およびタイムリーな OS/アプリの更新を実施します。
• ライブセッション中に悪用される可能性のある高リスクアクションに対して、トランザクションスロットルと二次検証を実装します。

技術的なポイント

単純な認証情報収集型トロイの木馬とは異なり、Herodotus はライブセッション中もアクティブであり続け、セッションを維持したままリモートでアカウント乗っ取りを実行するように設計されています。そのため、リアルタイム検出とセッション中の緩和策（オーバーレイの検出、デバイスの状態と一致しない異常な入力パターンの検出、同時画面ストリーミングなど）が特に重要になります。