Según el equipo de McAfee Mobile Research, la campaña utiliza mensajes de texto para engañar a los usuarios para que descarguen el malware, conocido como TimpDoor, que está disfrazado de una aplicación de mensajería de voz falsa. Una vez que el usuario cierra la aplicación después de que finaliza la instalación, el icono de la aplicación desaparece de la pantalla de inicio y comienza a ejecutar en secreto un servicio en segundo plano que permite al malware recopilar información del dispositivo, incluida la versión del sistema operativo (SO) y el tipo de conexión.

En ese momento, el malware inicia una conexión de shell seguro (SSH) al servidor de control para recuperar un puerto remoto asignado. El puerto permite que el malware use el dispositivo como un servidor proxy Socket Secure (SOCKS) local para el reenvío de puertos, que los atacantes pueden emplear para acceder a las redes corporativas, enviar correos electrónicos no deseados y de suplantación de identidad (phishing), realizar fraudes de clics y lanzar denegaciones distribuidas. Ataques de servicio (DDoS).

Según los hallazgos de McAfee, TimpDoor ha estado activo desde marzo de 2018 y hasta el momento ha infectado al menos 5,000 dispositivos.

Cómo los actores de amenazas convierten los dispositivos Android infectados en servidores proxy de red

TimpDoor no es el primer malware que ha convertido los dispositivos Android infectados en servidores proxy de red. En abril de 2017, los investigadores de Trend Micro detectaron el malware MilkyDoor, un sucesor del malware DressCode descubierto por Check Point un año antes, que se hizo pasar por aplicaciones disponibles para descargar en Google Play Store.

MilkyDoor también utiliza el reenvío de puertos a través de SSH para proteger la conexión y evitar las restricciones de seguridad de la red. Pero mientras TimpDoor fue diseñado para mantener el túnel SSH abierto y el servidor proxy en funcionamiento, MilkyDoor agregó la funcionalidad de puerta trasera sobre su función principal como integrador de adware.

Cómo defenderse contra el malware TimpDoor

Los profesionales de seguridad pueden defenderse contra el malware TimpDoor siguiendo las mejores prácticas de prevención de amenazas móviles , como el uso de una aplicación para escanear dispositivos aprobados y configuraciones en busca de conexiones anómalas. Dicha estrategia permite a los profesionales de la seguridad monitorear y analizar cómo se comportan las aplicaciones en los dispositivos de los usuarios, marcar eventos sospechosos y actuar en consecuencia.

Fuentes : McAfee , Trend Micro , Check Point

Compartir