اخبار

بدافزار جدید اندرویدی که دستگاه را به پراکسی‌های مخفی متصل می‌کند

مجرمان سایبری از طریق ایمیل‌های فیشینگ، بدافزار جدید اندرویدی را توزیع کرده‌اند که به‌وسیله آن گوشی‌های هوشمند آلوده، به پراکسی‌های مخفی متصل می‌شوند. این برنامه مخرب یک برنامه پیام صوتی جعلی را نصب و آن را بدون اطلاع کاربران به یک پروکسی شبکه تبدیل می‌کند. این بدافزار که TimpDoor نام دارد به‌عنوان یک درب پشتی، با دسترسی پنهانی به شبکه داخلی عمل می‌کند.

هنگامی‌که بدافزار با موفقیت نصب شد، سرویس پس‌زمینه، یک پروکسی socks را راه‌اندازی می‌کند که تمام ترافیک شبکه را از یک سرور شخص ثالث به‌وسیله یک اتصال رمزگذاری شده با استفاده از تونل پوسته امن هدایت می‌کند. همچنین این نرم‌افزارهای مخرب برای دسترسی به شبکه داخلی، تدابیر امنیتی مانند فایروال‌ها و ابزار نظارت را دور می‌زند. فعالیت‌های بدافزار TimpDoor که از ماه مارس شناسایی‌شده و محققان در ماه اوت ۲۶ فایل APK مخرب را پیداکرده‌اند، حداقل به ۵۰۰۰ قربانی آسیب‌زده است.

فرایند سرایت

مرحله اولیه سرایت با عملیات فیشینگ فعال با یک sms همراه با ۲ پیام صوتی شروع می‌شود و کاربر را فریب می‌دهد تا برای شنیدن صدا بر روی آن کلیک کند. هنگامی‌که قربانیان بر روی لینک کلیک می‌کنند، آن‌ها را به وب‌سایت جعلی که شامل یک دکمه دانلود است هدایت می‌کند و از آن‌ها می‌خواهد برنامه را نصب کنند.

 

همچنین این وب‌سایت جعلی شامل دستورالعمل‌های دقیق در مورد نحوه نصب این برنامه است و اگر به‌طور پیش‌فرض نصب از منابع ناشناخته مسدود شده باشد کاربر را فریب می‌دهد تا این گزینه را فعال کنند. هنگامی‌که قربانیان با موفقیت، مراحل بعدی را طی کرده و بر روی “Download Voice App” کلیک می‌کند، فایل VoiceApp.apk از یک سرور از راه دور دانلود می‌شود. پس از نصب، رابط جعلی‌ای برای گوش دادن به “پیام” نشان می‌دهد که حاوی آیکون‌های جعلی مانند Recents، Saved و Archive است که به‌درستی کار نمی‌کند. هنگامی‌که قربانیان سعی می‌کنند فایل صوتی را باز کنند، برنامه ناگهان بسته و آیکون از صفحه اصلی پنهان می‌شود تا حذف آن را مشکل کند و سرویس مخرب در پشت‌صحنه بدون اطلاع کاربر شروع به کار می‌کند.

 

پس از شروع سرویس، بدافزار اطلاعات سیستم مانند شناسه دستگاه، نام تجاری، مدل، نسخه سیستم‌عامل، اپراتورهای تلفن همراه، نوع اتصال و آدرس IP عمومی / محلی را جمع‌آوری می‌کند. با توجه به تحقیقات McAfee، هنگامی‌که اطلاعات دستگاه جمع‌آوری شد، TimpDoor یک اتصال پوسته امن (SSH) با سرور کنترل را شروع می‌کند تا از طریق ارسال شناسه دستگاه، پورت خروجی اختصاص داده‌شده را دریافت کند.

تحقیقات نشان می‌دهد TimpDoor آخرین نمونه از نرم‌افزارهای مخرب اندرویدی است که بر روی دستگاه‌ها یک درب پشتی نصب می‌کند و به‌طور بالقوه به مجرمان اینترنتی اجازه دسترسی رمزگذاری شده به شبکه‌های داخلی را می‌دهد که نشان‌دهنده یک خطر بزرگ برای شرکت‌ها و سیستم‌های آن‌ها است.

 

منبع: GBHackers

 

بدافزار جدید اندرویدی که دستگاه را به پراکسی‌های مخفی متصل می‌کند
To Top