Androidを侵入口に変える「TimpDoor」がSMSで拡散 - 5000台が感染か

感染したAndroidデバイスをプロクシとして動作させ、組織内部ネットワークの侵入経路として悪用されるおそれがあるマルウェア「TimpDoor」が確認された。

マカフィーによると、同マルウェアはデバイス情報を収集。端末上でSOCKSプロキシをバックグラウンドで起動させバックドアとして動作していた。

外部とSSHにより接続して通信内容を暗号化。ファイアウォールやネットワーク監視などの回避を試みる。

同マルウェアは、米国を中心にSMS経由で拡散。3月から8月にかけて、6カ月間に少なくとも5000台のデバイスが感染した可能性があると同社は見ている。

拡散に利用されたSMSは、ボイスメッセージに見せかけたもので、メッセージの再生と称して記載されたURLをクリックするよう誘導。

URLをクリックするとボイスメッセージアプリに見せかけ、インストールさせようとしていた。またGoogle Play経由の配布ではないため、Androidで制限されている「提供元不明のアプリ」のインストールを許可する方法なども記載していた。

同社は、現在見つかっている「TimpDoor」に実装されているのは、単純なプロキシ機能に限られるが、開発段階と見られ、今後あらたな亜種が登場する可能性があると指摘。

信頼できない提供元のアプリケーションをインストールしないよう注意を呼びかけている。

（Security NEXT - 2018/11/16 ）ツイート