Malware de Android convierte moviles en proxies ocultos

Los delincuentes cibernéticos distribuyen un nuevo malware para Android a través de la campaña de correo electrónico Phishing que convierte los teléfonos inteligentes infectados en proxies móviles ocultos.

Esta aplicación maliciosa instala una aplicación de mensaje de voz falsa y la convierte en un proxy de red sin el conocimiento de los usuarios.

Este Malware llamado TimpDoor que actúa como una puerta trasera con acceso sigiloso a la red doméstica y corporativa y la carga útil caída está completamente encriptada.

Una vez que el malware se instaló correctamente, un servicio en segundo plano inicia un proxy de Socks que redirige todo el tráfico de red desde un servidor de terceros a través de una conexión encriptada usando un túnel de shell seguro.

Además, este malware evade los futuros de seguridad, como los cortafuegos y la herramienta de monitoreo para acceder a la red interna.

Las actividades de malware de TimpDoor se identificaron desde marzo y los investigadores encontraron los 26 archivos APK maliciosos en agosto y afectaron a al menos 5000 víctimas.

Proceso de infeccion

La etapa inicial de la infección comienza a partir de la campaña de phishing activa a través de SMS junto con 2 masajes de voz y el usuario debe hacer clic en él para escuchar el audio.

Una vez que las víctimas hacen clic en el enlace, se redirige al sitio web falso que contiene un botón de descarga y les pide que instalen la aplicación.

Un sitio web falso que pide al usuario que descargue una aplicación de voz.

Además, este sitio web falso contiene instrucciones detalladas sobre cómo instalar esta aplicación y engañar al usuario para permitir que las fuentes desconocidas instalen este malicioso si está bloqueado de forma predeterminada.

Una vez que las víctimas hayan movido con éxito más pasos y haga clic en "Descargar aplicación de voz" , el archivo VoiceApp.apk se descarga desde un servidor remoto.

Después de la instalación, muestra la interfaz principal falsa para escuchar los “mensajes” que también contienen íconos falsos, como Recientes, Guardado y Archivo, que no funcionan correctamente.

La interfaz principal de la aplicación de mensajes de voz falsos.

Una vez que las víctimas intenten reproducir el archivo de audio, la aplicación se cerrará de repente, el icono se ocultará de la pantalla de inicio para dificultar su eliminación y el servicio malicioso comenzará a ejecutarse en segundo plano sin que el usuario lo sepa.

Poco después de que comience el servicio, Malware comienza a recopilar la información del sistema, como la identificación del dispositivo, la marca, el modelo, la versión del sistema operativo, el operador de telefonía móvil, el tipo de conexión y la dirección IP pública / local.

Según la investigación de McAfee , una vez que se recopila la información del dispositivo, TimpDoor inicia una conexión de shell seguro (SSH) al servidor de control para obtener el puerto remoto asignado mediante el envío de la ID del dispositivo. Este puerto se usará más adelante para el reenvío de puertos remoto con el dispositivo comprometido que actúa como un servidor proxy local de Socks.

TimpDoor es el último ejemplo de malware de Android que convierte los dispositivos en puertas traseras móviles, lo que potencialmente permite el acceso cifrado de los ciberdelincuentes a las redes internas, lo que representa un gran riesgo para las empresas y sus sistemas. Los investigadores dijeron.

Fecha actualización el 2021-10-25. Fecha publicación el 2018-10-25. Categoría: malware Autor: Oscar olg Mapa del sitio Fuente: gbhackers
malware