Compartir

 S21sec, compañía española de seguridad digital, analizó y detectó muestras de un malware llamado Timpdoor distribuido a través de una campaña de phishing SMS que redirige a la descarga de una aplicación que infecta el dispositivo y permite utilizarlo como proxy.

El malware es transmitido por medio de una aplicación que te muestra dos supuestas notas de voz y una vez que es instalada y ejecutada, el malware se activa en segundo plano, lo cual permite que el malware obtenga toda la información posible sobre el dispositivo infectado.

Timpdoor redirecciona todo el tráfico cifrado a un servidor de un tercero; de esa forma se saltan mecanismos de seguridad como firewalls e IDS. Estos permisos, además, permiten a la aplicación tener acceso a Internet.

En los mensajes SMS utilizados para esta campaña se informa a las víctimas potenciales de la existencia de dos mensajes en su buzón de voz. Para poder acceder a estos mensajes debían acceder a un link adjunto en el mensaje.
Este link redirige a una página fraudulenta en la que se incluyen unas instrucciones para descargar una supuesta aplicación de mensajería.

Las instrucciones muestran cómo descargar la aplicación, además de cómo acceder a los ajustes para permitir la opción de “fuentes desconocidas”. Cuando la víctima da clic en el icono de “Descarga Voice App” el archivo VoiceApp.apk es descargado de un servidor remoto.

Cuando la víctima escucha los mensajes de audio y cierra la aplicación, el icono de ésta se elimina de la pantalla principal, lo que dificulta su eliminación, aunque ésta continúa ejecutándose.

Tras el análisis de las muestras obtenidas de TimpDoor, S21sec detectó que se trata de un malware todavía en desarrollo, por lo que es posible que durante los próximos meses se lleven a cabo nuevas variantes del mismo.

TimpDoor es un ejemplo más de cómo un malware de Android puede convertir los dispositivos móviles en puertas traseras con los que acceder a las redes internas, lo que puede suponer un gran riesgo para las empresas. Por lo cual se recomienda:

  • No acceder a ningún enlace sospechoso.
  • No confiar en SMS ni emails que provengan de desconocidos.
  • Evitar la instalación de aplicaciones de terceros y confiar únicamente en las descargadas e instaladas desde GooglePlay.

Es importante señalar, que un aspecto curioso de TimpDoor es la forma en la cual ha sido distribuido, ya que a diferencia de otros malwares encontrados en aplicaciones de Android, éste se ha distribuido a través de SMS y no fue encontrado dentro de Google Play, abriendo camino a diferentes formas de infección e incrementando la vulnerabilidad de los usuarios.

No hay comentarios

Dejar una respuesta