Herodotusは、Android環境向けのバンキング型トロイの木馬です。
次々に登場するマルウェアはいろいろな新しい特徴を備えてくることがありますが、Herodotusもそうでした。
- 詐欺の人間化
これはどういうことでしょう。
マルウェアはいろいろな悪事を侵害環境で実施します。
悪事を働くコードは事前に準備されたものなので、通常は順次実行されます。
その内容が人間が実施するとした場合、実施不可能な速度で連続的に処理を実施していきます。
そういった動作のテンポを確認し、脅威活動だと判定する機構を持つセキュリティ対策の仕組みが存在します。
このマルウェアはここに対策してきました。
実行可能なアクションが何種もありますが、それらを実施する際に、実施と実施の間にランダムに遅延を挿入して実行するのです。
これにより予定された連続の動作ではあっても、あたかもそれが人間の操作によるものに見える状態を作り出しています。
実装されている操作は次のようなものです。- 画面上の要素をクリック
- 座標でクリック
- スワイプを実行する
- 入力テキスト
- グローバルアクションを実行する(戻る、ホーム、などの画面下部の操作)
- 操作を隠す
Herodotusは、画面を勝手に操作して悪事を働きますが、その様子は被害者には見せません。
画面には最前面に通常アプリケーションの処理待ちに見えるような画像を表示しておき、その後ろ側で予定された侵害活動を実施します。
いわゆるオーバーレイ機能です。
このマルウェアだけの新しい機能というわけではありませんが、他の機能と組み合わさった際に、より効果を発揮します。 - 多要素認証への対策
アプリケーションは多要素認証で安全性を高める工夫がされているものが増えています。
よくある例としては、ログインを試みるとSNSでワンタイムの文字列が送付されてくるのでそれを使ってログインを完了させるというものです。
Herodotusは、これを傍受する機構を搭載しています。
ターゲットとなったアプリケーションで利用される多要素認証は、Herodotusにとっては安全機構として効果を発揮できません。
このマルウェアは、MaaS(Malware as a Service)で提供されています。
マルウェア作成者は自分が捕まる危険を回避しながら収益を上げていくモデルになっています。
現在は特定の地域を中心として活動が観測されていますが、開発は現在も活発ですしまだまだ被害は広がっていくと考えられます。
注意してもしすぎるということはなさそうです。
New Android Malware Herodotus Mimics Human Behaviour to Evade Detection
https://www.threatfabric.com/blogs/new-android-malware-herodotus-mimics-human-behaviour-to-evade-detection
| この記事をシェア |
|
|---|
