聚焦源代码安全,网罗国内外最新资讯!
编译:360代码卫士团队
McAfee 公司发布报告称,一款新出现的恶意软件在受感染设备上创建了一个 Socks 代理,可能导致内部网络遭访问。
这款恶意软件是 TimpDoor,通过钓鱼文本信息进行传播,诱骗用户安装一款虚假的语音信息 app。然后安装后,一款后台服务启动 Socks 代理“通过加密连接经由安全的 shell 隧道重定向第三方服务器的所有网络流量”。
研究人员表示,受感染设备不仅可被当做后门,攻击者还能滥用由受攻陷设备组成的网络发送垃圾邮件和钓鱼邮件、执行广告点击劫持,或者发动 DDoS 攻击。最早的恶意软件变体出现在3月份,最近一次出现在8月份。至少从2018年3月底开始,在针对美国用户的一次攻击活动中至少感染了5000台设备。
TimpDoor 的工作原理
钓鱼信息通知用户称需要查看两条语音信息并给出 URL。如果用户点击链接,则会展示一个虚假的网页,要求他们安装一款应用听取信息。安装后,这款虚假的 app 提出转换语音信息,但用户完成操作后会从主屏上隐藏自己的图标。然而在后台已经有一款服务不知不觉地开始运转。
之后,TimpDoor 收集大量信息如设备 ID、品牌、模型、操作系统版本、移动运营商、连接类型和公开/本地 IP 地址。之后开启和控制服务器的SSH 连接并发送设备 ID 以接收被分配的远程端口以用于远程端口转发并确保 SSH 连接一直呈活跃状态。
在托管这款虚假语音应用的同样的 IP 地址上,研究人员发现了更多的 APK 文件显示,恶意软件的早期版本使用了一个 HTTP 代理 (LittleProxy),而新版本转换为 Socks 代理 (MicroSocks)。这个数据包的名称和控制服务器的 URL 也发生了变化。
恶意软件的更新迭代
然而,TimpDoor 并非首个将设备转换为移动代理的安卓恶意软件。DressCode 的继承者 MilkyDoor 于去年现身并且具有类似功能。虽然 DressCode 仅在受感染设备上安装了一个 Socks 代理,但 MilkyDoor 也和 TimpDoor 一样通过 SSH 使用了端口转发。
然而,TimpDoor 和MilkyDoor 之间也存在诸多不同之处,比如传播方式(SMS 钓鱼和谷歌应用商店)、SSH 连接和代理功能等。老旧的威胁似乎是一款更加完整的 SDK,而 TimpDoor 仅有基础的代理功能。
McAfee 公司表示,“TimpDoor 是最新的能将设备转换为移动后门的安卓恶意软件案例,它能允许网络犯罪分子获得访问内部网络的加密权限,从而为企业及其系统带来巨大风险。传播服务器上出现的版本及其实现的简单的代理功能表明该威胁可能仍然处于开发阶段。”
推荐阅读
原文链接
https://www.securityweek.com/timpdoor-malware-turns-android-devices-proxies
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。