Acepto

COOKIES

Esta web utiliza cookies técnicas, de personalización y de análisis, propias y de terceros, para anónimamente facilitarle la navegación y analizar estadísticas del uso de la web. Obtener más información

TimpDoor, un malware que convierte dispositivos Android en proxies de red

  • Endpoint

malware movil 2

La campaña utiliza mensajes de texto para engañar a los usuarios para que descarguen el malware, que se hace pasar por una aplicación de mensajería de voz falsa. TimpDoor ha estado activo desde marzo y hasta el momento ha infectado al menos 5.000 dispositivos.

También puedes leer...

DNS Security for Dummies

Diez capas de seguridad para contenedores

20 Casos de uso de CASB

Los riesgos de Blockchain

Diez consejos sobre la gestión de Bots

Una investigación reciente ha descubierto una familia de malware que permite a los atacantes convertir dispositivos Android infectados en servidores proxy de red sin el conocimiento de los usuarios. Según los investigadores, la campaña utiliza mensajes de texto para engañar a los usuarios para que descarguen el malware, conocido como TimpDoor, que se hace pasar por una aplicación de mensajería de voz falsa.

Una vez que el usuario cierra la aplicación después de que finaliza la instalación, el icono de la aplicación desaparece de la pantalla de inicio y comienza a ejecutar en secreto un servicio en segundo plano que permite al malware recopilar información del dispositivo, incluida la versión del sistema operativo y el tipo de conexión. En ese momento, el malware inicia una conexión de shell seguro (SSH) al servidor de control para recuperar un puerto remoto asignado. El puerto permite que el malware use el dispositivo como un servidor proxy Socket Secure (SOCKS) local, que los atacantes pueden emplear para acceder a redes corporativas, enviar correos electrónicos no deseados y de suplantación de identidad, realizar fraudes de clics y lanzar ataques DDoS. TimpDoor ha estado activo desde marzo y hasta el momento ha infectado al menos 5.000 dispositivos.

TimpDoor no es el primer malware que ha convertido los dispositivos Android infectados en servidores proxy de red. En abril de 2017, los investigadores de Trend Micro detectaron el malware MilkyDoor, un sucesor del malware DressCode descubierto por Check Point un año antes, que se hizo pasar por aplicaciones disponibles para descargar en Google Play Store.

MilkyDoor también utilizaba el reenvío de puertos a través de SSH para proteger la conexión y evitar las restricciones de seguridad de la red. Pero mientras TimpDoor fue diseñado para mantener el túnel SSH abierto y el servidor proxy en funcionamiento, MilkyDoor agregó la funcionalidad de puerta trasera sobre su función principal como integrador de adware.

Suscríbete a nuestro Newsletter

* Todos los campos son requeridos