Android新型マルウェア「Herodotus」—人間っぽい遅延で不正検知をすり抜ける

英 The Register が報じた新手のAndroidマルウェア「Herodotus」は、キーボード入力やタップのタイミングにランダムな遅延を混ぜ、人間の操作らしさを装うことで行動ベースの不正検知を回避します。
References:The Register

従来の「速すぎる連続入力＝ボット」検知を逆手に取り、資格情報の窃取、画面配信、入力ハイジャックなどを実行。

金融詐欺向けにMaaS（Malware-as-a-Service）として流通しているとされます。

何が新しいのか：遅くする攻撃

研究各社の解析によれば、Herodotusは入力ルーチンにランダマイザを組み込み、キーの間隔やスワイプ速度を人間のバラつきに近づけます。

これにより、モバイル銀行や不正対策ソフトが用いるタイミング・ヒューリスティクス（機械的で一定間隔の入力を検知する手法）を回避。

結果として、デバイス乗っ取り（DTO）や遠隔操作による送金まで到達し得ます。

キャンペーンはイタリアやブラジルで観測され、背後には既存の犯罪グループ（Brokewell系と推測）がいるとの指摘もあります。

ポイント：SMSワンタイムパス（OTP）の盗み見から、端末そのものの遠隔操作（DTO）へ——攻撃の主戦場が上流化しています。

Herodotusはマルウェア市場で貸し出されるMaaS形態で流通し、スミッシング（SMS誘導）やサイドローディング用の“ドロッパー”経由で配布されます。

近年は、従来の銀行トロイに限らずSMS窃取・スパイ系をばらまくケースも増加。

“アプリっぽい”見た目と格安広告が合わさって、非IT層へ浸透しやすいのが現実です。

2025年は各社の統計でもモバイル脅威の急増が確認されています。

Malwarebytesは年初来151%増を報告。

Kasperskyの四半期レポートでも、モバイル向け攻撃の阻止件数が1,071万件（Q2）、うち銀行トロイが目立つとされます。

防御側の検知強化に対し、攻撃側は“人間らしさの模倣”で応戦している構図です。

目視監査の限界：
スクショ化やPDF化で生成情報を隠す、入力のランダム化で行動検知を回避——可視指標が当てにならない局面が増えています。
MFAの形骸化：
DTOでは利用者本人の画面・文脈を踏まえて操作できるため、SMS-OTPやプッシュ承認の“人力の壁”が薄くなる。

アプリは公式ストア限定：
提供元・レビュー・公開日を確認。外部APKは原則禁止。
権限の棚卸し：
Accessibility／画面上に重ねて表示を常時許可しない。
不要アプリは削除。
MFAの強化：
SMS-OTPより認証アプリ（TOTP）、可能ならハードキーへ。
同一端末上の承認は避ける。
Google Play ProtectをON：
警告は無視しない。
未知のアプリは即スキャン。
銀行アプリの“異常”に敏感に：
勝手にポインタが動く／画面が一瞬暗転などは遠隔操作の兆候。
すぐネット遮断→端末再起動→公式サポートへ。

Herodotusは人間の“もたつき”を模倣するため、速度・頻度だけの行動モデルでは脱落します。

指の軌跡の揺らぎ、加速度パターン、視線代理信号（スクロールの間合い）など多変量の行動生体と、サーバ側の取引文脈（設備・地理・履歴）を総合評価する必要があります。

さらに在席確認（対話式チャレンジ）や高額時の“アウトオブバンド承認”を標準装備すべきです。

Herodotusは入力タイミングのランダム化で人間らしい挙動を再現し、行動ベースの不正検知をすり抜ける。
配布はMaaS化し、ドロッパー／スミッシングを通じて拡散。
攻撃はSMS傍受からDTOへと上流化している。
2025年はモバイル脅威が全体に増勢。
個人・企業・金融の三者が、権限管理／行動生体の多層化／アウトオブバンド承認で対抗する段階に入った。