Nul
Onderzoekers hebben ontdekt een actieve phishing-campagne die zich richt op Android-apparaten om te zetten in de mobiele proxy ‘ s.
Op woensdag, cybersecurity stevige McAfee zei de campagne is het verspreiden van Android/TimpDoor, een kwaadaardig .APK die zich voordoet als een stem van toepassing.
TimpDoor omzeilt de beveiliging procedures en beveiligingen die wordt aangeboden door Google ‘ s Play Store. De aanvallers achter de malware te hebben gevraagd om hun kwaadaardige software in de app archief; in plaats daarvan, de malware verspreidt zich via sms-berichten met een kwaadaardige link naar de nep-app.
De McAfee Mobile Research team zegt dat als het eenmaal geïnstalleerd is, de nep-app lanceert een service op de achtergrond die begint met een Socks-proxy die komt netwerkverkeer van de server van een derde zonder dat de gebruiker het weet.
De campagne is actief sinds ten minste het einde van Maart, met ONS Android-gebruikers melden van de ontvangst van de vreemde sms-berichten. De sms-berichten informeren potentiële slachtoffers die ze hebben twee boodschappen naar ‘review’, maar om dit te kunnen doen, moeten ze op een koppeling te klikken.
CNET: Witte Huis wil lenen tech werknemers van Google, Amazon, zegt verslag
Als een gebruiker klikt op deze link, een frauduleuze website. Volgens McAfee, de pagina die zich voordoet als een “populaire ingedeeld advertentie website” en vraagt de gebruiker om de app te installeren.
Terwijl nog steeds voordoen als een legitieme service, de website bevat de instructies voor het uitschakelen “Onbekende Bronnen” in het Android OS om de app te installeren en te luisteren naar de berichten.
Dit is een noodzakelijke stap voor het installeren van apps geïnstalleerd buiten Google Play of op apparaten die niet jailbroken.
Eenmaal geïnstalleerd, de app lijkt eenvoudig, voice-software — maar mist een echte functionaliteit buiten het hosten van een paar nep audio-bestanden. Als de app gesloten is, wordt het pictogram is verborgen, terwijl op de achtergrond proces begint bij het maken van de proxy, het verzamelen van informatie van het apparaat langs de weg.
Het netwerkverkeer wordt vervolgens verzonden via een versleutelde verbinding via een SSH-tunnel.
“[Dit] stelt potentiële toegang tot de interne netwerken en het omzeilen van beveiliging van het netwerk mechanismen, zoals firewalls en netwerk monitoren,” de McAfee Mobile research team gezegd.
Zie ook: Dit botnet strikken uw slimme apparaten voor het uitvoeren van DDoS-aanvallen met een beetje hulp van Mirai
“Zodra het apparaat informatie is verzameld, TimpDoor begint een secure shell (SSH) verbinding met de control-server te krijgen van de toegewezen poort op afstand door het verzenden van het apparaat-ID’ McAfee zegt. “Deze poort wordt later gebruikt voor remote port forwarding met de besmette apparaat fungeert als een lokale Socks-proxy-server.”
Als het verkeer en de lading zijn gecodeerd, is het mogelijk dat apparaten die draaien op TimpDoor kan worden gekaapt om heimelijke toegang tot enterprise-en thuisnetwerken.
Bovendien een volledige, slaaf netwerk van TimpDoor-besmette apparaten kunnen worden gebruikt als een bot voor het verzenden van phishing-e-mails, het uitvoeren van ad-klik op fraude, of start distributed denial-of-service (DDoS) – aanvallen.
TechRepublic: Waarom 23% van de bedrijven nooit het testen van hun disaster recovery plan, ondanks de grote risico ‘ s
McAfee bijgehouden de phishing-pogingen en vinden de belangrijkste verdeling van de TimpDoor malware. In totaal zijn 26 varianten werden ontdekt, met de nieuwste versie van de kwaadaardige .APK gedateerd op het einde van augustus.
De onderzoekers zijn van mening dat minstens 5000 apparaten zijn besmet-to-date.
“Hoewel deze dreiging is niet te zien op Google Play, dit SMS-phishing-campagne verspreiden TimpDoor toont aan dat cybercriminelen zijn nog steeds gebruik van traditionele phishing technieken om gebruikers te verleiden tot het installeren van kwaadaardige applicaties,” zeggen de onderzoekers.
McAfee is van mening dat de malware heeft een aantal weg te gaan voordat evolueert naar een bredere dreiging, en de code is simplistisch functionaliteit, het bedrijf is van mening dat het nog steeds in ontwikkeling. Echter, het bedrijf verwacht ook dat de malware om uiteindelijk te evolueren naar nieuwe varianten.
De hosts van de phishing-domeinen werden aangemeld en op dit moment niet meer actief.
TimpDoor is niet het enige voorbeeld van malware die gericht is op mobiele apparaten om ze om te zetten in een geheime proxy ‘ s. Ontdekt in 2017 door Trend Micro, de MilkyDoor Android-malware — vermoedelijk de opvolger van de DressCode — uitgevoerd dezelfde kwaadaardige activiteiten door het verspreiden via Trojanized apps in Google Play.
Vorige en aanverwante dekking
Pocket iNet ISP blootgesteld 73GB van gegevens met inbegrip van geheime sleutels, ongecodeerde wachtwoorden Dit is hoe de overheid spyware StrongPity maakt gebruik van beveiliging-onderzoekers’ werk tegen hen Google Nieuws-app bug brandwonden door gigabytes aan gebruiker mobile data
Verwante Onderwerpen:
Mobiliteit
Beveiliging TV
Data Management
CXO
Datacenters
0