サイバーセキュリティ企業ThreatFabricが、Herodotusと呼ばれる新しいAndroidバンキング型トロイの木馬を発見した。
このマルウェアは2025年9月7日にアンダーグラウンドフォーラムで初めて宣伝され、マルウェア・アズ・ア・サービスモデル(MaaS:Malware-as-a-Service)で提供されている。Android バージョン9から16を実行するデバイスで動作し、イタリアとブラジルを標的としたデバイス乗っ取り攻撃が観測されている。
Herodotusは既存のマルウェアBrokewellの技術を一部借用しており、Google Chromeを装ったドロッパーアプリを通じて配布される。最大の特徴は、テキスト入力時に300から3000ミリ秒のランダムな遅延を導入することで人間の行動を模倣し、行動バイオメトリクス検出を回避する点である。
米国、トルコ、英国、ポーランドの金融機関や暗号通貨ウォレットを標的とするオーバーレイページも確認されている。
From: 
New Android Trojan ‘Herodotus’ Outsmarts Anti-Fraud Systems by Typing Like a Human
【編集部解説】
このHerodotusというマルウェアが示しているのは、サイバー攻撃が新たな進化の段階に入ったという事実です。従来のマルウェアは単に認証情報を盗むことに注力していましたが、Herodotusは「人間らしさ」を装うことで、最新の不正検知システムをすり抜けようとしています。
特に注目すべきは、行動バイオメトリクス認証という先進的なセキュリティ技術への対抗手段として登場した点です。行動バイオメトリクスは、ユーザーのタイピングリズムやマウス操作、画面タッチの圧力など、多様な行動パターンを分析して本人確認を行う技術で、パスワードが漏洩した場合でも不正アクセスを検知できる次世代の防御策として期待されていました。
しかしHerodotusは、テキスト入力時に300から3000ミリ秒という人間らしいランダムな遅延を意図的に挿入することで、この防御を突破しようとしています。機械的な高速入力を検知する仕組みが無効化されてしまうわけです。
マルウェア・アズ・ア・サービスというビジネスモデルで提供されている点も見逃せません。これは高度な技術を持たない犯罪者でも、サービスを購入するだけでこの洗練されたマルウェアを利用できることを意味します。現在はイタリアとブラジルが標的ですが、米国、トルコ、英国、ポーランドの金融機関を狙うオーバーレイページも確認されており、攻撃範囲は急速に拡大しています。
この事例は、セキュリティ対策とサイバー攻撃の「いたちごっこ」が新しい次元に突入したことを示唆しています。防御側は行動分析だけでなく、より多層的で高度な検知手法の開発を迫られることになるでしょう。
【用語解説】
行動バイオメトリクス(Behavioral Biometrics)
ユーザーのタイピングリズム、マウスの動かし方、画面タッチの圧力や速度など、個人特有の行動パターンを分析して本人確認を行う認証技術である。指紋や顔認証などの生体認証とは異なり、行動の癖を識別する。
マルウェア・アズ・ア・サービス(MaaS:Malware-as-a-Service)
マルウェアをサブスクリプション形式やレンタル形式で提供するビジネスモデルである。技術的知識のない犯罪者でも高度な攻撃ツールを利用できるため、サイバー犯罪の敷居を下げている。
オーバーレイ攻撃
正規のアプリの上に偽の画面を重ねて表示し、ユーザーに気づかれないまま認証情報やパスワードを入力させる攻撃手法である。見た目は正規のログイン画面と区別がつかない。
ドロッパーアプリ
それ自体は悪意ある動作をせず、インストール後に本体となるマルウェアをダウンロード・実行する役割を持つアプリである。初期段階では悪意が検出されにくい。
Brokewell
Herodotusの基となった既存のAndroidバンキング型マルウェアである。Herodotusのコード内に「BRKWL_JAVA」という文字列が含まれており、技術的な系譜が確認されている。
【参考リンク】
ThreatFabric(外部)
オランダに拠点を置くサイバーセキュリティ企業で、モバイルバンキングの脅威インテリジェンスと不正検知ソリューションを提供している。
The Hacker News(外部)
サイバーセキュリティ分野における世界的なニュースメディアで、最新の脅威情報や脆弱性、攻撃手法に関する専門的な報道を行っている。
【参考記事】
New Herodotus Android malware fakes human typing to avoid detection(外部)
Herodotusが人間のタイピング速度を模倣し行動バイオメトリクス認証を回避する仕組みを詳細に解説している。
Android malware types like your gran to steal banking creds(外部)
Google Chromeを装ったドロッパーアプリとして配布され、複数国の金融機関を標的としている点を報じている。
Herodotus: New Android Malware Mimics Human Behavior to Evade Detection(外部)
Brokewellマルウェアの技術を借用しつつ行動バイオメトリクス検出を回避する新機能を実装している点を分析している。
‘Herodotus’ Android Trojan Mimics Human Sluggishness(外部)
マルウェア・アズ・ア・サービスモデルで提供され、暗号通貨ウォレットも攻撃対象に含まれている点を報じている。
【編集部後記】
皆さんのAndroidスマートフォンには、セキュリティアプリをインストールされていますか。今回のHerodotusは、行動バイオメトリクスという最新のセキュリティ技術を回避する能力を持っており、従来の対策だけでは不十分になりつつあることを示しています。
Google Playプロテクトといった標準機能に加え、信頼できるアプリストア以外からのインストールを避ける、不審なSMSやメールに記載されたリンクを開かない、アプリの権限設定を定期的に見直すといった基本的な対策が、今まで以上に重要になってきています。皆さんはどのようなセキュリティ対策を実践されているでしょうか。
