Эксперты McAfee обнаружил фишинговую кампанию, направленную против пользователей устройств на Android. Авторы малвари Android/TimpDoor (далее просто TimpDoor) не распространяют своего вредоноса через каталог Google Play, вместо этого они используют старые добрые текстовые сообщения, содержащие ссылки на вредоносные и поддельные приложения. Исследователи пишут, что TimpDoor, к примеру, маскируется под несуществующее приложение Download Voice App. Если пользователь попадается на удочку злоумышленников и открывают полученную в SMS ссылку, он попадает на сайт, где ему пошагово объясняют, как скачать и установить приложение, разрешить в Android установку приложений из сторонних источников. На первый взгляд после загрузки .APK и установки вредоносного приложения оно даже кажется настоящим, но вскоре становится очевидно, что полезная функциональность отсутствует и Download Voice App содержит разве что несколько фейковых аудиофайлов. Однако понять, что перед ним фальшивка, пользователь обычно просто не успевает, что как приложение закрывается, а его иконка скрывается. После этого запускается фоновый сервис и на устройстве поднимается Socks-прокси, пропускающая через SSH-тоннель сторонний трафик без ведома пользователя. "Теоретически это позволяет атакующим получить доступ к внутренним сетям и обойти такие защитные механизмы, как файрволы и сетевые мониторы", — объясняют исследователи. — Как только TimpDoor собирал информацию о зараженном устройстве, он инициирует защищенное SSH-соединение с управляющим сервером, чтобы получить назначенный сетевой порт, передав ID устройства. Впоследствии данный порт будет использован для удаленной переадресации портов, и скомпрометированное устройство будет действовать как локальный сервер Socks-прокси". Судя по всему, пока целью создателей TimpDoor является получение скрытого доступа к корпоративным и домашним сетям, хотя малварь и зараженные ей девайсы также могут использоваться для рассылки фишинговых писем, кликфрода, DDoS-атак и так далее. По данным специалистов McAfee, в настоящее время существует 26 вариаций TimpDoor, новейшая из которых датирована августом 2018 года. Вредонос уже заразил как минимум 5000 устройств, хотя аналитики полагают, что он пока находится в разработке.