مجرمان سایبری از طریق ایمیلهای فیشینگ، بدافزار جدید اندرویدی را توزیع کردهاند که بهوسیله آن گوشیهای هوشمند آلوده، به پراکسیهای مخفی متصل میشوند. این برنامه مخرب یک برنامه پیام صوتی جعلی را نصب و آن را بدون اطلاع کاربران به یک پروکسی شبکه تبدیل میکند. این بدافزار که TimpDoor نام دارد بهعنوان یک درب پشتی، با دسترسی پنهانی به شبکه داخلی عمل میکند.
هنگامیکه بدافزار با موفقیت نصب شد، سرویس پسزمینه، یک پروکسی socks را راهاندازی میکند که تمام ترافیک شبکه را از یک سرور شخص ثالث بهوسیله یک اتصال رمزگذاری شده با استفاده از تونل پوسته امن هدایت میکند. همچنین این نرمافزارهای مخرب برای دسترسی به شبکه داخلی، تدابیر امنیتی مانند فایروالها و ابزار نظارت را دور میزند. فعالیتهای بدافزار TimpDoor که از ماه مارس شناساییشده و محققان در ماه اوت ۲۶ فایل APK مخرب را پیداکردهاند، حداقل به ۵۰۰۰ قربانی آسیبزده است.
فرایند سرایت
مرحله اولیه سرایت با عملیات فیشینگ فعال با یک sms همراه با ۲ پیام صوتی شروع میشود و کاربر را فریب میدهد تا برای شنیدن صدا بر روی آن کلیک کند. هنگامیکه قربانیان بر روی لینک کلیک میکنند، آنها را به وبسایت جعلی که شامل یک دکمه دانلود است هدایت میکند و از آنها میخواهد برنامه را نصب کنند.
همچنین این وبسایت جعلی شامل دستورالعملهای دقیق در مورد نحوه نصب این برنامه است و اگر بهطور پیشفرض نصب از منابع ناشناخته مسدود شده باشد کاربر را فریب میدهد تا این گزینه را فعال کنند. هنگامیکه قربانیان با موفقیت، مراحل بعدی را طی کرده و بر روی “Download Voice App” کلیک میکند، فایل VoiceApp.apk از یک سرور از راه دور دانلود میشود. پس از نصب، رابط جعلیای برای گوش دادن به “پیام” نشان میدهد که حاوی آیکونهای جعلی مانند Recents، Saved و Archive است که بهدرستی کار نمیکند. هنگامیکه قربانیان سعی میکنند فایل صوتی را باز کنند، برنامه ناگهان بسته و آیکون از صفحه اصلی پنهان میشود تا حذف آن را مشکل کند و سرویس مخرب در پشتصحنه بدون اطلاع کاربر شروع به کار میکند.
پس از شروع سرویس، بدافزار اطلاعات سیستم مانند شناسه دستگاه، نام تجاری، مدل، نسخه سیستمعامل، اپراتورهای تلفن همراه، نوع اتصال و آدرس IP عمومی / محلی را جمعآوری میکند. با توجه به تحقیقات McAfee، هنگامیکه اطلاعات دستگاه جمعآوری شد، TimpDoor یک اتصال پوسته امن (SSH) با سرور کنترل را شروع میکند تا از طریق ارسال شناسه دستگاه، پورت خروجی اختصاص دادهشده را دریافت کند.
تحقیقات نشان میدهد TimpDoor آخرین نمونه از نرمافزارهای مخرب اندرویدی است که بر روی دستگاهها یک درب پشتی نصب میکند و بهطور بالقوه به مجرمان اینترنتی اجازه دسترسی رمزگذاری شده به شبکههای داخلی را میدهد که نشاندهنده یک خطر بزرگ برای شرکتها و سیستمهای آنها است.
منبع: GBHackers
