Эксперты McAfee обнаружили фишинговую кампанию, направленную против пользователей устройств на Android. Авторы малвари Android/TimpDoor (далее просто TimpDoor) не распространяют своего вредоноса через каталог Google Play, вместо этого они используют старые добрые текстовые сообщения, содержащие ссылки на вредоносные и поддельные приложения.

Исследователи пишут, что TimpDoor, к примеру, маскируется под несуществующее приложение Download Voice App. Если пользователь попадается на удочку злоумышленников и открывает полученную в SMS ссылку, он попадает на сайт, где ему пошагово объясняют, как скачать и установить приложение, разрешив в Android установку приложений из сторонних источников.

На первый взгляд после загрузки .APK и установки вредоносного приложения оно даже кажется настоящим, но вскоре становится очевидно, что полезная функциональность отсутствует, а Download Voice App содержит разве что несколько фейковых аудиофайлов.

Однако понять, что перед ним фальшивка, пользователь обычно просто не успевает, что как приложение закрывается, а его иконка скрывается. После этого запускается фоновый сервис и на устройстве поднимается Socks-прокси, пропускающая через SSH-тоннель сторонний трафик без ведома пользователя.

«Теоретически это позволяет атакующим получить доступ к внутренним сетям и обойти такие защитные механизмы, как файрволы и сетевые мониторы», — объясняют исследователи.  —  Как только TimpDoor собирал информацию о зараженном устройстве, он инициирует защищенное SSH-соединение с управляющим сервером, чтобы получить назначенный сетевой порт, передав ID устройства. Впоследствии данный порт будет использован для удаленной переадресации портов, и скомпрометированное устройство будет действовать как локальный сервер Socks-прокси».

Судя по всему, пока целью создателей TimpDoor является получение скрытого доступа к корпоративным и домашним сетям, хотя малварь и зараженные ей девайсы также могут использоваться для рассылки фишинговых писем, кликфрода, DDoS-атак и так далее.

По данным специалистов McAfee, в настоящее время существует 26 вариаций TimpDoor, новейшая из которых датирована августом 2018 года. Вредонос уже заразил как минимум 5000 устройств, хотя аналитики полагают, что он пока находится в разработке.