Phần mềm độc hại TimpDoor biến điện thoại thông minh thành proxy di động

Các nhà nghiên cứu đã phát hiện ra một chiến dịch lừa đảo đang hoạt động nhắm mục tiêu thiết bị Android để biến chúng thành proxy di động.

Hôm thứ Tư, công ty bảo mật mạng McAfee cho biết một sự lan truyền Android/TimpDoor, một tệp độc hại .APK giả mạo như một ứng dụng thoại đang lây lan nhanh chóng.

TimpDoor ngăn chặn các thủ tục bảo mật và bảo vệ được cung cấp bởi Cửa hàng Play của Google. Những kẻ tấn công đằng sau phần mềm độc hại đã không tìm cách lưu trữ phần mềm độc hại của chúng trong kho ứng dụng; thay vào đó, phần mềm độc hại lan truyền qua tin nhắn văn bản chứa liên kết độc hại đến ứng dụng giả mạo.

Nhóm nghiên cứu di động McAfee nói rằng một khi đã được cài đặt, ứng dụng giả sẽ khởi chạy một dịch vụ nền khởi động một proxy để chuyển hướng lưu lượng mạng từ máy chủ của bên thứ ba mà không cần thông báo cho người dùng biết.

Hoạt động này đã bắt đầu kể từ cuối tháng 3, với người dùng Android tại Mỹ báo cáo việc nhận các tin nhắn văn bản lạ. Các tin nhắn văn bản thông báo cho các nạn nhân tiềm năng rằng họ có hai tin nhắn thoại cần “xem”, nhưng để làm như vậy, họ phải nhấp vào một liên kết.

Nếu người dùng nhấp vào liên kết này, một trang web giả mạo sẽ được mở. Theo McAfee, trang web giả mạo là một “trang web quảng cáo được phân loại phổ biến” và yêu cầu người dùng cài đặt ứng dụng.

Trong khi vẫn giả mạo như một dịch vụ hợp pháp, trang web bao gồm các hướng dẫn về cách vô hiệu hóa “Nguồn không xác định” trong hệ điều hành Android để cài đặt ứng dụng và nghe tin nhắn.

Đây là một bước cần thiết để cài đặt các ứng dụng được cài đặt bên ngoài Google Play hoặc trên các thiết bị chưa được bẻ khóa.

Sau khi cài đặt, ứng dụng dường như là phần mềm thoại đơn giản - nhưng thiếu tất cả các chức năng ngoài việc lưu trữ một vài tệp âm thanh giả mạo. Nếu ứng dụng bị đóng, biểu tượng sẽ bị ẩn trong khi quá trình bắt đầu khởi tạo proxy và thu thập thông tin thiết bị trong khi hoạt động.

Lưu lượng mạng sau đó được gửi qua một kết nối được mã hóa thông qua một đường hầm SSH.

“Điều này cho phép khả năng truy cập tiềm năng vào các mạng nội bộ và bỏ qua các cơ chế bảo mật mạng như tường lửa và màn hình mạng”, nhóm nghiên cứu của McAfee Mobile cho biết.

“Khi thông tin thiết bị được thu thập, TimpDoor bắt đầu kết nối lớp bảo vệ an toàn (SSH) tới máy chủ điều khiển để nhận cổng từ xa được gán bằng cách gửi ID thiết bị”, McAfee nói. “Cổng này sau đó sẽ được sử dụng để chuyển tiếp cổng từ xa với thiết bị bị xâm nhập hoạt động như một máy chủ proxy cục bộ Socks.”

Vì lưu lượng và tải trọng đều được mã hóa, có thể các thiết bị chạy TimpDoor có thể bị tấn công để cung cấp khả năng truy cập tàng hình cho mạng doanh nghiệp và gia đình.

Hơn nữa, một mạng lưới đầy đủ bị xâm nhập bởi TimpDoor có thể được sử dụng làm bot để gửi email lừa đảo, thực hiện gian lận quảng cáo hoặc khởi chạy các cuộc tấn công từ chối dịch vụ (DDoS) được phân phối.

McAfee đã theo dõi các nỗ lực lừa đảo và tìm thấy máy chủ phân phối chính của phần mềm độc hại TimpDoor. Tổng cộng, 26 biến thể đã được phát hiện, với phiên bản mới nhất của mã độc hại .APK bị theo dấu thời gian vào cuối tháng 8.

Các nhà nghiên cứu tin rằng ít nhất 5.000 thiết bị đã bị nhiễm cho đến nay.

“Mặc dù mối đe dọa này chưa được nhìn thấy trên Google Play, nhưng chiến dịch lừa đảo SMS này đã phân phối TimpDoor cho thấy tội phạm mạng vẫn đang sử dụng các kỹ thuật lừa đảo truyền thống để lừa người dùng cài đặt các ứng dụng độc hại”.

McAfee tin rằng phần mềm độc hại có một số cách để đi trước khi phát triển thành một mối đe dọa lớn hơn, và với chức năng đơn giản của mã hóa, công ty tin rằng nó vẫn đang được phát triển. Các máy chủ của các tên miền lừa đảo đã được thông báo và hiện tại không còn hoạt động nữa.

TimpDoor không phải là ví dụ duy nhất về phần mềm độc hại nhắm mục tiêu thiết bị di động biến chúng thành proxy bí mật. Được phát hiện vào năm 2017 bởi Trend Micro, phần mềm độc hại của MilkyDoor Android - được cho là kế thừa của DressCode - đã tiến hành các hoạt động độc hại tương tự bằng cách lan truyền thông qua các ứng dụng bị tấn công trong Google Play.