TimpDoor con foco en usuarios de Estados Unidos

Josep Verdura - Analista de Seguridad de Vintegris

Josep Verdura – Analista de Seguridad de Vintegris

Los usuarios de Android en América del Norte son el objetivo actual del malware TimpDoor

Un equipo de investigación ha identificado una campaña de phishing activa que atrapa a los usuarios enviando un SMS para influenciarlos en la descarga e instalación de la aplicación de malware para Android TimpDoor.

Es una aplicación de mensaje de voz falsa que permite a los atacantes infectar los dispositivos y usarlos como servidores proxy de red, sin levantar sospechas.

Una vez que se instala TimpDoor, se inicia un servicio de proxy Socks en segundo plano, que se encarga de redirigir todo el tráfico en la red desde un servidor de terceros a través de una conexión cifrada facilitada por un túnel de shell seguro.

Esto permite a los atacantes acceder a las redes internas del sistema después de evadir los métodos de seguridad de red implementados, como monitores de red y firewalls.

Según los investigadores, TimpDoor es un .APK malicioso que se ha presentado como una aplicación de voz.

Esta aplicación puede eludir fácilmente las medidas de seguridad de la Play Store de Google.

Sin embargo, los atacantes no alojan el malware de Android en el repositorio de la aplicación, pero se distribuyen como mensajes de texto que contienen un enlace a esta aplicación.

Después de invadir el sistema, TimpDoor puede convertir los dispositivos infectados en puertas traseras móviles para comprometer las redes domésticas y corporativas.

Algunos otros resultados probables de esta aplicación falsa, identificados por los investigadores en su informe, incluyen:

Lo que es peor, una red de dispositivos comprometidos también podría usarse para fines más rentables, como enviar correos electrónicos no deseados y de suplantación de identidad (phishing), realizar fraudes de clics publicitarios o lanzar ataques distribuidos de denegación de servicio.

La campaña ha estado activa desde fines de marzo, mientras que los usuarios de Android en los EE. UU. Son los objetivos clave de esta campaña.

Los mensajes SMS extraños informan a los destinatarios que hay dos mensajes de voz que deben “revisar” y, para acceder a ellos, deben hacer clic en un enlace incrustado.

Los investigadores creen que hasta ahora esta campaña ha reclamado 5,000 dispositivos en los Estados Unidos.

Se utiliza un servidor remoto para alojar la aplicación falsa, que está diseñada para parecer genuina.

Señalaron que todo sobre la aplicación es falso, aparte de los botones que reproducen los archivos de audio:

Cuando el usuario ha escuchado los mensajes falsos y ha cerrado la aplicación, el ícono permanece activo en segundo plano, pero no se ve en la pantalla de inicio. Esto hace que sea difícil eliminar la aplicación.

El servicio de calcetines también funciona en secreto y recopila datos cruciales del dispositivo, incluida la marca, la ID del dispositivo, la versión del sistema operativo, el tipo de conexión, el operador móvil, el modelo y la dirección IP pública o local.

 

Por Josep Verdura – Analista de Seguridad de Vintegris