헤로도투스 모바일 악성코드

보안 연구원들이 헤로도투스(Herodotus)라는 이름의 새로운 안드로이드 뱅킹 트로이 목마를 발견했습니다. 이 트로이 목마는 활발한 기기 탈취(DTO) 공격에 사용되고 있습니다. 초기 활동은 이탈리아와 브라질 사용자를 대상으로 관찰되었으며, 분석 결과 이 트로이 목마는 서비스형 맬웨어(MaaS) 형태로 제공되는 것으로 나타났습니다.

가짜 크롬 드로퍼, 스미싱 및 사이드 로딩

운영자는 합법적인 앱(com.cd3.app과 같은 패키지 이름을 사용하여 Google Chrome으로 위장한 것으로 알려짐)을 사칭하는 드로퍼 애플리케이션을 통해 헤로도투스를 유포하고, SMS 피싱 및 기타 소셜 엔지니어링 기법을 통해 피해자를 유인합니다. 드로퍼가 설치되면(주로 사이드 로딩을 통해) 악성 페이로드를 가져와 설치합니다.

헤로도투스의 능력

• Android 접근성 서비스를 남용하여 화면을 제어하고, 불투명한 오버레이를 표시하고, 뱅킹 및 암호화 앱 위에 가짜 로그인 페이지를 표시합니다.
• 화면 콘텐츠와 SMS 메시지(2FA 코드 포함)를 가로채고 추출합니다.
• 자체적으로 추가 권한을 부여하고, 잠금 화면 PIN이나 패턴을 캡처하고, 원격 APK를 설치하고, 정적 자격 증명을 훔치는 데 그치지 않고 라이브 세션 내부에 머물러 있습니다.
• 키 입력을 기록하고, 화면을 스트리밍하고, 원격 입력 작업을 수행하여 계정 인수를 수행합니다.

행동 감지기를 이기기 위한 원격 사기의 '인간화'

헤로도토스의 가장 두드러진 특징은 인간의 상호작용 타이밍을 모방하려는 시도입니다. 이 악성코드는 자동 입력 이벤트 사이에 무작위 지연 시간(보고된 지연 시간 범위는 약 300~3,000밀리초)을 추가하여 원격 입력이 기계 속도보다는 실제 사용자처럼 보이도록 합니다. 이는 타이밍 또는 행동 기반 사기 방지 및 생체 인식 탐지를 우회하려는 명백한 시도입니다. 이러한 타이밍 무작위화는 주로 입력 속도와 키 입력 빈도에 의존하는 방어 시스템을 무력화하려는 의도적인 시도로 설명됩니다.

브로크웰과의 연결

분석 결과, 헤로도투스는 단순히 브로크웰의 새로운 버전이 아니라 브로크웰과 다른 계열의 기법과 코드 조각(난독화 방법과 'BRKWL_JAVA'와 같은 마커와 같은 문자적 참조 포함)을 재사용한 것으로 나타났습니다. 즉, 알려진 구성 요소를 새로운 활발하게 개발된 변종에 효과적으로 엮어 넣은 것입니다.

지리적 범위 및 대상

연구원들은 미국, 터키, 영국, 폴란드의 은행과 암호화폐 지갑 및 거래소에 맞춰 제작된 오버레이 페이지를 복구했습니다. 이는 운영자들이 이탈리아/브라질에서 처음 발견된 것 외에도 공격 대상 지역과 분야를 확대하고 있음을 보여줍니다. 이 프로젝트는 현재 활발하게 개발 중이며, 지하 포럼을 통해 다른 사기꾼들에게 홍보되고 있습니다.

우선순위를 정하기 위한 실제적 조치

• 동작 기반 사기 방지 솔루션을 계층적 방어의 한 신호로 취급합니다. 즉, 장치 상태, 무결성 검사(접근성 남용 및 사이드 로딩 앱 감지), 네트워크 원격 측정 및 거래 위험 점수를 결합합니다.
• 사이드 로딩 및 무단 패키지 설치를 감지하고 차단합니다. 엔드포인트에서 의심스러운 오버레이 창과 접근성 서비스 사용을 모니터링합니다.
• 강력한 다중 인증 요소(가능한 경우 SMS를 통한 푸시 또는 하드웨어 토큰), 장치 강화, 적시 OS/앱 업데이트를 시행합니다.
• 라이브 세션 중에 남용될 수 있는 고위험 작업에 대해 거래 제한 및 2차 검증을 구현합니다.

기술적 요점

단순한 자격 증명 수집 트로이 목마와 달리, 헤로도투스는 라이브 세션 중에도 활성 상태를 유지하며 원격으로 세션을 보존하는 계정 탈취를 수행하도록 설계되었습니다. 따라서 실시간 탐지 및 세션 중 대응(예: 오버레이 탐지, 기기 상태와 일치하지 않는 비정상적인 입력 패턴 탐지, 동시 화면 스트리밍 탐지)이 특히 중요합니다.