كشف الباحثون عن حملة تصيد نشطة تستهدف أجهزة Android لتحويلها إلى وكلاء جوال.
في يوم الأربعاء ، قالت شركة الأمن السيبراني McAfee أن الحملة تنشر Android / TimpDoor ، وهو برنامج APAP خبيث يتنكر على أنه تطبيق صوتي.
يتجنب TimpDoor الإجراءات الأمنية والحماية التي يوفرها متجر Google Play. لم يحاول المهاجمون وراء البرامج الضارة استضافة برامجهم الضارة في مستودع التطبيقات ؛ بدلاً من ذلك ، تنتشر البرامج الضارة عبر الرسائل النصية التي تحتوي على رابط ضار إلى التطبيق المزيف.
يقول فريق أبحاث McAfee Mobile أنه بمجرد تثبيته ، يُطلق التطبيق المزيف خدمة للخلفية التي تبدأ بروكسي Socks الذي يعيد توجيه حركة مرور الشبكة من خادم جهة خارجية دون معرفة المستخدم.
كانت الحملة نشطة منذ نهاية مارس على الأقل ، حيث أبلغ مستخدمو Android الأمريكيون عن استلام رسائل نصية غريبة. تُبلغ الرسائل النصية الضحايا المحتملين بأن لديهم رسالتين صوتيتين “للمراجعة” ، ولكن من أجل القيام بذلك ، يجب عليهم النقر فوق ارتباط.
إذا نقر المستخدم على هذا الرابط ، يتم فتح صفحة ويب احتيالية. وفقًا لـ McAfee ، تتظاهر الصفحة بأنها “موقع إعلانات مصنفة شائعًا” وتطلب من المستخدم تثبيت التطبيق.
بينما لا يزال يتنكر في الخدمة المشروعة ، يتضمن الموقع تعليمات حول كيفية تعطيل “مصادر غير معروفة” في نظام التشغيل Android لتثبيت التطبيق والاستماع إلى الرسائل.
هذه خطوة ضرورية لتثبيت التطبيقات المثبتة خارج Google Play أو على الأجهزة التي لم يتم إلغاء تقييدها.
وبمجرد تثبيته ، يبدو أن التطبيق عبارة عن برنامج صوتي بسيط – ولكنه يفتقر إلى أي وظائف حقيقية تتجاوز استضافة بعض الملفات الصوتية المزيفة. إذا كان التطبيق مغلقًا ، فسيتم إخفاء الرمز أثناء بدء عملية الخلفية في إنشاء الوكيل ، وتجميع معلومات الجهاز على طول الطريق.
ثم يتم إرسال حركة مرور الشبكة عبر اتصال مشفر عبر نفق SSH.
وقال فريق البحث في مكافي موبايل: “يسمح هذا الأمر بالوصول المحتمل إلى الشبكات الداخلية وتجاوز آليات أمن الشبكات مثل الجدران النارية وشاشات المراقبة”.
“بمجرد أن يتم جمع معلومات الجهاز ، يبدأ TimpDoor اتصال shell (SSH) آمن بخادم التحكم للحصول على المنفذ البعيد المعين عن طريق إرسال معرف الجهاز ،” يقول McAfee. “سيتم استخدام هذا المنفذ لاحقًا لإعادة توجيه المنفذ عن بُعد باستخدام الجهاز المخترق الذي يعمل كخادم وكيل محلي في Socks.”
عندما يتم تشفير كل من حركة المرور والحمولة ، فمن الممكن أن يتم اختطاف الأجهزة التي تقوم بتشغيل TimpDoor من أجل توفير الوصول الخفي إلى الشركات والشبكات المنزلية.
علاوة على ذلك ، يمكن استخدام شبكة كاملة مستعبدة من أجهزة TimpDoor التي تعرضت للاختراق ، كبرنامج إرسال لإرسال رسائل بريد إلكتروني تصيدية ، أو تنفيذ عمليات احتيال بالنقرة الإعلانية ، أو إطلاق هجمات رفض الخدمة الموزعة (DDoS).
تبعت McAfee محاولات الخداع ووجدت خادم التوزيع الرئيسي لبرامج TimpDoor الضارة. في المجموع ، تم اكتشاف 26 variants ، مع أحدث إصدار من الخبيثة .appk timestamped في نهاية أغسطس.
ويعتقد الباحثون أن ما لا يقل عن 5000 جهاز مصاب حتى الآن.
ويقول الباحثون: “على الرغم من أن هذا التهديد لم يظهر على Google Play ، إلا أن حملة الخداع هذه التي تقوم بتوزيع TimpDoor تظهر أن المجرمين الإلكترونيين لا يزالون يستخدمون تقنيات الخداع التقليدية لخداع المستخدمين لتثبيت التطبيقات الضارة”.
وتعتقد McAfee أن البرمجيات الخبيثة لديها بعض الطريق قبل أن تتطور إلى تهديد أوسع ، ونظراً للوظيفة التبسيطية في الشفرة ، تعتقد الشركة أنها لا تزال قيد التطوير. ومع ذلك ، تتوقع الشركة أيضًا أن تتطور البرمجيات الخبيثة في النهاية إلى أشكال جديدة.
تم إعلام مضيفي مجالات التصيد ولم تعد نشطة في الوقت الحالي.
TimpDoor ليس هو المثال الوحيد للبرامج الضارة التي تستهدف الأجهزة المحمولة لتحويلها إلى وكلاء سريين. اكتشفت MilkyDoor Android في عام 2017 بواسطة تريند مايكرو ، والتي يُعتقد أنها كانت خلفًا لـ DressCode ، والتي نفذت نفس الأنشطة الضارة من خلال الانتشار عبر تطبيقات Trojanized في Google Play.
