بدافزار TimpDoor دستگاه‌های اندرویدی را به پروکسی تبدیل می‌کند

 

محققان امنیتی از مک‌آفی بدافزار اندرویدی جدیدی را شناسایی کرده‌اند که پروکسی Socks ایجاد کرده و دسترسی به شبکه‌ی داخلی را برای مهاجم فراهم می‌کند. این بدافزار TimpDoor نام داشته و با روش فیشینگ توزیع می‌شود و در قالب یک برنامه‌ی پیام‌رسان صوتی جعلی ارائه می‌شود. زمانی‌که این برنامه نصب شد، سرویس پس‌زمینه یک پروکسی Socks  ایجاد می‌کند تا تمامی ترافیک را از طریق یک کانال شِل امن از یک سرور شخص ثالث هدایت کند. 


این بدافزار نه تنها می‌تواند به‌عنوان درب پشتی عمل کند بلکه مهاجمان می‌توانند از طریق شبکه‌ی دستگاه‌های آلوده به ارسال هرزنامه و ایمیل‌های فیشینگ بپردازند و یا اینکه حملات منع سرویس توزیع‌شده انجام دهند. اولین نمونه از این بدافزار در ماه مارس و جدیدترین نسخه‌ی آن در ماه آگوست مشاهده شده است. این بدافزار تا اواخر ماه مارس توانسته ۵ هزار دستگاه اندرویدی را آلوده کند. 


در روش فیشینگ پیامکی به کاربر اطلاع داده می‌شود که دو پیام صوتی دارد که برای بازبینی آن‌ها باید به یک آدرس URL که در متن پیام ارائه شده مراجعه کند. اگر کاربر بر روی این لینک کلیک کند، به یک وب‌سایت جعلی هدایت می‌شود که برای دیدن پیام‌های صوتی، نصب برنامه‌ی جعلی به او پیشنهاد می‌شود. پس از نصب، این برنامه پیام‌های صوتی را پردازش کرده و پس از مدتی که این عملیات تمام شد، آیکون برنامه از صفحه ناپدید می‌شود. ولی در پس‌زمینه یک سرویس بدون اطلاع کاربر اجرا می‌شود.


این بدافزار می‌تواند اطلاعات مهمی از دستگاه مانند مدل، شناسه‌، آدرس‌های IP خصوصی و عمومی و بسیاری اطلاعات دیگر را بدست آورد. بدافزار در ادامه نیز یک ارتباط  SSH را با سرور دستور و کنترل ایجاد کرده و یک پورت اختصاصی برای ارتباطات بعدی دریافت می‌کند. در آدرس IP که این برنامه‌ی جعلی را ارائه می‌کند، چند برنامه‌ی اندرویدی دیگر مشاهده شده است. محققان پس از تحلیل‌های بسیار متوجه شدند در نسخه‌های قبلی بدافزار پروکسی HTTP بر روی دستگاه قربانی ایجاد می‌شد. 
 

منبع

پست‌های مشابه

Leave a Comment