TimpDoor：将安卓设备变身为代理的恶意软件

聚焦源代码安全，网罗国内外最新资讯！

编译：360代码卫士团队

McAfee公司发布报告称，一款新出现的恶意软件在受感染设备上创建了一个Socks代理，可能导致内部网络遭访问。

这款恶意软件是TimpDoor，通过钓鱼文本信息进行传播，诱骗用户安装一款虚假的语音信息app。然后安装后，一款后台服务启动Socks代理“通过加密连接经由安全的shell隧道重定向第三方服务器的所有网络流量”。

研究人员表示，受感染设备不仅可被当做后门，攻击者还能滥用由受攻陷设备组成的网络发送垃圾邮件和钓鱼邮件、执行广告点击劫持，或者发动DDoS攻击。最早的恶意软件变体出现在3月份，最近一次出现在8月份。至少从2018年3月底开始，在针对美国用户的一次攻击活动中至少感染了5000台设备。

TimpDoor 的工作原理

之后，TimpDoor收集大量信息如设备ID、品牌、模型、操作系统版本、移动运营商、连接类型和公开/本地IP地址。之后开启和控制服务器的SSH连接并发送设备ID以接收被分配的远程端口以用于远程端口转发并确保SSH连接一直呈活跃状态。

在托管这款虚假语音应用的同样的IP地址上，研究人员发现了更多的APK文件显示，恶意软件的早期版本使用了一个HTTP代理(LittleProxy)，而新版本转换为Socks代理(MicroSocks)。这个数据包的名称和控制服务器的URL也发生了变化。

恶意软件的更新迭代

然而，TimpDoor并非首个将设备转换为移动代理的安卓恶意软件。DressCode的继承者MilkyDoor于去年现身并且具有类似功能。虽然DressCode仅在受感染设备上安装了一个Socks代理，但MilkyDoor也和TimpDoor一样通过SSH使用了端口转发。

然而，TimpDoor和MilkyDoor之间也存在诸多不同之处，比如传播方式（SMS钓鱼和谷歌应用商店）、SSH连接和代理功能等。老旧的威胁似乎是一款更加完整的SDK，而TimpDoor仅有基础的代理功能。

McAfee公司表示，“TimpDoor是最新的能将设备转换为移动后门的安卓恶意软件案例，它能允许网络犯罪分子获得访问内部网络的加密权限，从而为企业及其系统带来巨大风险。传播服务器上出现的版本及其实现的简单的代理功能表明该威胁可能仍然处于开发阶段。”