恶意软件Android / TimpDoor可将您的手机变成黑客工具

恶意软件Android / TimpDoor可将您的手机变成黑客工具

McAfee Mobile研究团队最近发现了一个使用短信的活跃网络钓鱼活动,诱使用户下载并安装假的语音留言应用程序,该应用程序允许网络犯罪分子在用户不知情的情况下将受感染的设备用作网络代理。安装了虚假应用程序后,后台服务将启动Socks代理,该代理通过安全加密链路重定向来自第三方服务器的所有网络流量—-允许黑客访问内部网络并绕过网络安全机制,如防火墙和网络监视器。McAfee Mobile Security将此恶意软件命名为Android / TimpDoor。

运行TimpDoor的设备可以作为移动后门让网络犯罪分子隐匿访问企业和家庭网络,因为恶意流量和有效负载是加密的。更糟糕的是,受损设备网络也可用于更有利可图的目的,例如发送垃圾邮件和网络钓鱼电子邮件,执行广告点击欺诈或启动分布式拒绝服务攻击。

根据McAfee对主发行服务器上发现的26个恶意Android安装包(APK)文件进行的分析,最早的TimpDoor变种出现在3月,最新的APK出现在8月底。根据McAfee的遥测数据,这些应用程序至少感染了5,000台设备。至少从3月底开始,恶意应用程序通过有效的网络钓鱼活动进行传播。

恶意广告系列始于北美

最早在3月底,美国一名用户报告了可疑短信,短信上说他收到两条语音留言,诱骗他点击网址下载应用程序来收听留言:

恶意软件Android / TimpDoor可将您的手机变成黑客工具

图1. 用户报告需要下载假语音应用程序的短信

恶意软件Android / TimpDoor可将您的手机变成黑客工具

图2. 8月9日的短信

恶意软件Android / TimpDoor可将您的手机变成黑客工具

图3. 8月26日的短信

如果用户点击这些链接,就会进入一个虚假网页,要求用户安装应用程序以收听语音消息:

恶意软件Android / TimpDoor可将您的手机变成黑客工具

图4. 要求用户下载语音应用程序的虚假网站

除了提供恶意APK的链接之外,该虚假网站还包含有关如何禁用“未知来源”以安装在Google Play外部下载的应用程序的详细说明。

虚假语音APP

当用户点击“下载语音APP”后,将从远程服务器下载文件Voiceapp.apk。如果受害者按照指示安装,则会出现以下界面以使应用看起来合法:

恶意软件Android / TimpDoor可将您的手机变成黑客工具

图5. 虚假语音APP的初始界面

只有受感染设备的Android版本为7.1或更高版本(API级别25)时,才会出现上述界面。如果Android版本较低,应用程序会跳过初始界面,直接显示收听“消息”的主界面:

恶意软件Android / TimpDoor可将您的手机变成黑客工具

图6. 虚假语音APP的主界面

主界面上的所有内容都是假的。“最近”、“已存”和“存档”中什么都没有。唯一有效的按钮是假音频文件的播放按钮。语音消息的持续时间与音频文件显示的时间不一致,电话号码也是假的。

一旦用户收听假消息并关闭应用程序后,该APP就会隐藏起来,使其难以删除。同时,它会在用户不知道情况下在后台启动某种服务:

恶意软件Android / TimpDoor可将您的手机变成黑客工具

 

图7. 在后台运行的服务

SSH上的Socks代理

一旦该服务启动,恶意软件就会收集设备信息:设备ID、品牌、型号、操作系统版本、移动运营商、连接类型和公共/本地IP地址。为了收集公共IP地址信息,TimpDoor使用免费的地理定位服务获取JSON格式的数据(国家、地区、城市、纬度、经度、公共IP地址和ISP)。如果HTTP请求失败,恶意软件会向主控服务器的getIP.php网页发出HTTP请求,该网页会提供公共IP地址。

收集设备信息后,TimpDoor会启动与控制服务器连接的SSH,以通过发送设备ID来获取分配的远程端口。然后此端口会转发远程端口,让受感染的设备充当本地Socks代理服务器。除了通过SSH隧道启动代理服务器之外,TimpDoor还建立了保持SSH连接活动的机制,例如监视网络连接的变化以及设置警报以不断检查已建立的SSH隧道:

恶意软件Android / TimpDoor可将您的手机变成黑客工具

图8. 确保SSH隧道正在运行

为确保SSH隧道启动,TimpDoor执行updateStatus方法,该方法通过SSH将先前收集到的设备信息和本地/公共IP地址数据发送到控制服务器。

移动恶意软件分发服务器

检测托管在Voiceapp.apk上的IP地址199.192.19[.]18,研究人员在目录“US”中发现了更多的APK文件。“US”可能代表美国,因为语音APP上的假电话号码的归属地在美国,那些信息也是由美国号码发送过来的:

恶意软件Android / TimpDoor可将您的手机变成黑客工具

图9. 恶意软件分发服务器的“US”文件夹中的APK文件。

根据服务器上显示的“上次修改”日期,文件夹中最旧的APK文件是chainmail.apk(3月12日),而最新的是Voiceapp.apk(8月27日),表明该广告系列已运行了至少五个月,很可能仍在活跃。

我们可以将APK文件按大小划分为两组(5.1MB和3.1MB)。它们之间的主要区别在于,最旧的使用HTTP代理(LittleProxy),而最新的(7月和8月)使用Socks代理(MicroSocks)。其它差异是包名称,控制服务器URL以及updateStatus方法中appVersion的值—-范围从1.1.0到1.4.0。

除了US文件夹,还有一个代表加拿大的CA文件夹。

恶意软件Android / TimpDoor可将您的手机变成黑客工具

图10. 分发服务器上的“CA”文件夹

检查CA文件夹中的文件,可以发现Voiceapp.apk和relevanbest.apk与appVersion 1.4.0(Socks代理服务器)是同一个文件。Octarineiads.apk是带有HTTP代理的1.1.0版本,带有HTTP代理。

TimpDoor vs MilkyDoor

TimpDoor不是第一个将Android设备转变为移动代理的恶意软件,TimpDoor通过SSH隧道使用Socks代理从控制服务器转发网络流量。2017年4月,研究人员发现了MilkyDoor,这是2016年发现的DressCode的变种。这两种恶意软件都是在Google Play中作为特洛伊木马程序传播的。DressCode仅在受感染设备上安装Socks代理服务器; MilkyDoor就像TimpDoor一样还通过SSH使用远程端口转发来保护该链接以绕过网络安全限制。但是,TimpDoor和MilkyDoor之间存在一些的差异:

分发:TimpDoor使用通过短信传播的虚假语音APP来分发,而MilkyDoor是作为Google Play中的特洛伊木马程序分发的。

SSH连接:MilkyDoor需要将设备和IP地址信息上传到控制服务器才能接收连接细节,而TimpDoor已在其代码中包含相关信息。TimpDoor使用该信息来获取远程端口以执行动态端口转发并定期发送更新的设备数据。

纯代理功能:MilkyDoor显然是早期SDK版本的广告软件集成者,后来又增加了后门功能。TimpDoor的唯一目的(至少在此活动中)是在未经用户同意的情况下使SSH隧道一直打开并且在后台运行代理服务器。

MilkyDoor似乎是一个更完整的软件开发工具包,具有广告软件和下载功能。TimpDoor只有基本的代理功能,最开始使用HTTP代理和后来使用Socks代理。

结论

TimpDoor是最新出现的Android恶意软件,它将设备转变为移动后门—-可能允许网络犯罪分子加密访问内部网络,这对公司及其系统来说是一个巨大的威胁。在分发服务器上找到的版本以及其简单代理功能表明此恶意软件仍处于开发阶段,但在不久的将来其变种肯定会出现。

虽然Google Play上没有出现这种威胁,但这种分发TimpDoor的短信网络钓鱼活动表明,网络犯罪分子仍在使用传统的网络钓鱼技术诱骗用户安装恶意应用程序。

为了保护您免受此类以及类似威胁,请在移动设备上使用安全软件,不要安装未知来源的应用程序。

原创文章,作者:Drops,如若转载,请注明出处:http://www.mottoin.com/sole/view/121855.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code