محققان امنیتی از مکآفی بدافزار اندرویدی جدیدی را شناسایی کردهاند که پروکسی Socks ایجاد کرده و دسترسی به شبکهی داخلی را برای مهاجم فراهم میکند. این بدافزار TimpDoor نام داشته و با روش فیشینگ توزیع میشود و در قالب یک برنامهی پیامرسان صوتی جعلی ارائه میشود. زمانیکه این برنامه نصب شد، سرویس پسزمینه یک پروکسی Socks ایجاد میکند تا تمامی ترافیک را از طریق یک کانال شِل امن از یک سرور شخص ثالث هدایت کند.
این بدافزار نه تنها میتواند بهعنوان درب پشتی عمل کند بلکه مهاجمان میتوانند از طریق شبکهی دستگاههای آلوده به ارسال هرزنامه و ایمیلهای فیشینگ بپردازند و یا اینکه حملات منع سرویس توزیعشده انجام دهند. اولین نمونه از این بدافزار در ماه مارس و جدیدترین نسخهی آن در ماه آگوست مشاهده شده است. این بدافزار تا اواخر ماه مارس توانسته ۵ هزار دستگاه اندرویدی را آلوده کند.
در روش فیشینگ پیامکی به کاربر اطلاع داده میشود که دو پیام صوتی دارد که برای بازبینی آنها باید به یک آدرس URL که در متن پیام ارائه شده مراجعه کند. اگر کاربر بر روی این لینک کلیک کند، به یک وبسایت جعلی هدایت میشود که برای دیدن پیامهای صوتی، نصب برنامهی جعلی به او پیشنهاد میشود. پس از نصب، این برنامه پیامهای صوتی را پردازش کرده و پس از مدتی که این عملیات تمام شد، آیکون برنامه از صفحه ناپدید میشود. ولی در پسزمینه یک سرویس بدون اطلاع کاربر اجرا میشود.
این بدافزار میتواند اطلاعات مهمی از دستگاه مانند مدل، شناسه، آدرسهای IP خصوصی و عمومی و بسیاری اطلاعات دیگر را بدست آورد. بدافزار در ادامه نیز یک ارتباط SSH را با سرور دستور و کنترل ایجاد کرده و یک پورت اختصاصی برای ارتباطات بعدی دریافت میکند. در آدرس IP که این برنامهی جعلی را ارائه میکند، چند برنامهی اندرویدی دیگر مشاهده شده است. محققان پس از تحلیلهای بسیار متوجه شدند در نسخههای قبلی بدافزار پروکسی HTTP بر روی دستگاه قربانی ایجاد میشد.