Recentemente, a equipe da McAfee Mobile Research descobriu uma nova campanha de phishing ativa. Ela usa mensagens de texto (SMS) que engana os usuários para fazer o download e instalar um falso aplicativo de mensagens de voz. O aplicativo permite aos crackers usar dispositivos infectados como proxy de rede sem o conhecimento dos usuários. Se o aplicativo falso estiver instalado, um serviço em segundo plano inicia um proxy Socks. Confira neste post que pesquisadores da McAfee descobrem camadas de phishing em proxy oculto.
Como age o phishing
Este proxy redireciona todo o tráfego de rede de um servidor por meio de uma conexão criptografada por um túnel shell seguro. Portanto, permite acesso potencial a redes internas. Além disso, ignora, assim, os mecanismos de rede, como firewalls e varreduras de rede. O McAfee Mobile Security detecta esse malware como Android/TimDoor.
Os dispositivos que executam o TimDoor podem servir como backdoors móveis para acesso furtivo a redes corporativas e doméstica. Todo o tráfego mal-intencionado e a carga útil são criptografadas. Pior ainda, uma rede de dispositivos comprometidos também pode ser usada para fins mais lucrativos. E’o caso de envio de e-mail de spam e phishing, a execução de cliques em anúncios ou o lançamento de ataques distribuídos de negação de serviço.
Arquivos maliciosos
A McAfee analisou 26 aquivos APK maliciosos encontrados no principal servidor de distribuição. Ela descobriu que a versão mais antiga do TimDoor está disponível desde Março, com o mais recente APK do final de Agosto.
De acordo com os dados de telemetria, esses aplicativos infectaram pelos menos 5.000 dispositivos. Assim, os aplicativos maliciosos foram distribuídos por meio de uma campanha de phising ativa via SMS. Inicialmente, foi detectada nos EUA desde final de março.
A McAfee notificou os hosts dos domínios de phishing e do servidor de distribuição de malware. No momento em que escrevemos este post, confirmamos que eles não estão mais ativos.