- Herodotus 악성 코드는 시간 기반 바이러스 탐지를 피하기 위해 사람의 타이핑을 모방합니다.
- SMS 피싱을 통해 확산되며, 가짜 화면과 권한 우회를 통해 자동으로 설치됩니다.
- 연구원들은 Android 사용자에게 Play Protect를 사용하고 비공식 앱 소스를 피할 것을 촉구합니다.
모바일 바이러스 백신 프로그램이 악성 활동을 탐지하는 방법 중 하나는 소위 “시간 기반” 탐지를 이용하는 것입니다.
악성코드가 자체적으로 다양한 Android 권한을 부여하거나, 앱을 다운로드하거나, 다른 작업(예: 탭, 스와이프, 스크롤)을 수행하려고 할 때 일반적으로 간격이 고르지 않고 일시 정지가 다른 인간과 달리 자동화된 로봇 방식으로 수행합니다.
바이러스 백신 프로그램은 이러한 비정상적인 동작 패턴을 식별하고 이를 통해 잠재적인 맬웨어를 탐지할 수 있습니다. 하지만 헤로도토스는 그렇지 않았습니다.
헤로도토스
보안 연구원인 Threat Fabric은 최근 텍스트 입력을 위한 ‘인본주의적’ 메커니즘을 포함하는 유명한 그리스 역사가의 이름을 딴 새로운 Android 악성 코드를 발견했습니다.
이 프로세스는 실제 인간이 입력하는 것과 유사한 0.3~3초 사이의 무작위 지연을 생성합니다.
Threat Fabric은 보고서에서 “텍스트 입력 이벤트 간의 지연 무작위화는 사용자가 텍스트를 입력하는 방식과 일치합니다”라고 말했습니다. “의도적으로 임의의 간격으로 입력을 지연함으로써 행위자는 기계와 같은 모션 탐지 동작 전용 부정 행위 방지 솔루션에 의한 탐지를 피하려고 할 가능성이 높습니다.”
Herodotus는 현재 MaaS(Malware-as-a-Service)로 사이버 범죄자에게 제공되고 있으며 아직 개발 중이지만 적극적으로 사용되고 있습니다.
Threat Fabric은 일부 이탈리아와 브라질 안드로이드 사용자가 이미 감염되었으며 공격은 SMS 피싱(스미싱)을 통해 시작된다고 경고했습니다.
SMS에서 피해자에게는 초기 페이로드를 설치하고 접근성 권한 제한을 우회하려고 시도하는 사용자 정의 드로퍼에 대한 링크가 제공됩니다. 성공하면 백그라운드에서 악성코드를 설치하는 동안 피해자에게 가짜 로딩 화면을 보여줍니다.
연구원들은 현재 여러 위협 행위자들이 헤로도토스의 서비스를 사용하고 있으며 안드로이드 사용자들에게 평판이 좋은 출처(예: Play 스토어)에서만 앱을 다운로드할 것을 촉구하고 있다고 밝혔습니다. 또한 사용자에게 Play Protect를 활성화하고 새로 설치된 앱에 대한 위험한 권한을 취소할 것을 촉구합니다.
~을 통해 컴퓨터가 울리는 중
모든 예산에 맞는 최고의 바이러스 백신
Google 뉴스에서 TechRadar 팔로우 그리고 우리를 선호 소스로 추가하세요 피드에서 전문가 뉴스, 리뷰, 의견을 받아보세요. 팔로우 버튼을 꼭 눌러주시는 것 잊지 마세요!
그리고 물론 당신은 할 수 있습니다 TikTok에서 TechRadar 팔로우 뉴스, 리뷰, 언박싱, 동영상 등의 형태로 정기적인 업데이트를 받아보세요. 왓츠앱 매우
