McAfee Mobile Research团队最近发现了一个活跃的使用短信（SMS）进行网络钓鱼的行动，诱使用户下载并安装虚假语音留言应用程序，该程序允许网络犯罪分子在用户不知情的情况下将受感染的设备用作网络代理。如果安装了虚假应用程序，后台服务将启动Socks代理，该代理通过安全shell隧道加密连接重定向来自第三方服务器的所有网络流量——允许潜在访问内部网络并绕过网络安全机制，如防火墙和网络监视器。McAfee Mobile Security将此恶意软件检测为Android / TimpDoor。

运行TimpDoor的设备可以作为移动后门，用于秘密访问企业和家庭网络，因为恶意流量和有效载荷是加密的。更糟糕的是，受感染设备网络也可用于更有利可图的目的，例如发送垃圾邮件和网络钓鱼电子邮件，执行广告点击欺诈或启动分布式拒绝服务攻击。

根据我们对主分发服务器上发现的26个恶意APK文件进行了分析，最早的TimpDoor变种自3月开始分发，最新的APK从8月底开始。根据我们的遥测数据，这些应用程序至少感染了5,000台设备。从3月底开始，恶意应用程序借由美国的SMS通过有效的网络钓鱼活动进行分发。McAfee通知了用于网络钓鱼域名和恶意软件分发服务器的不知情主机;在撰写本文时，我们确认他们已失效。

一、行动针对北美

至少在3月底，美国的用户报告了可疑短信，通知他们有两条语音留言要审核，并诱骗他们点击网址听取：

图1.用户报告需要下载虚假语音应用程序的文本。来源800notes.com。

图2. 8月9日的文本。资源：findwhocallsyou.com.

图3. 8月26日的文本。资料来源：800notes.com。

如果用户在移动设备中点击这些链接之一，则浏览器显示虚假网页，该网页假装来自流行的分类广告网站，并要求用户安装应用程序以收听语音消息：

图4.假网站要求用户下载语音应用程序。

除了提供恶意APK的链接之外，虚假网站还包含有关如何禁用“未知来源”以安装在Google Play之外下载的app的详细说明。

二、虚假voice app

当用户单击“下载语音应用程序”时，将从远程服务器下载VoiceApp.apk文件。如果受害者遵循说明，则会出现以下屏幕以使应用看起来很合法：

图5.虚假语音应用程序初始屏幕。

仅当受感染设备的Android版本为7.1或更高版本（API级别25）时，才会显示上述屏幕。如果Android版本较早，应用程序会跳过初始屏幕并显示主虚假界面以收听“消息”：

图6.虚假语音消息应用程序的主界面。

主屏幕上的所有内容都是假的。 “最近”，“已保存”和“存档”图标没有任何功能。唯一有效的按钮播放假音频文件。语音消息的持续时间与音频文件的长度不对应，并且电话号码是假的，保存在应用程序的资源中。

一旦用户收听假消息并关闭应用程序，该图标就会从主屏幕隐藏，使其难以删除。同时，它在没有用户不知晓的情况下在后台启动服务：

图7.在后台运行的服务。

三、SSH隧道上的Socks代理

一旦服务启动，恶意软件就会收集设备信息：设备ID，品牌，型号，操作系统版本，移动运营商，连接类型和公共/本地IP地址。为了收集公共IP地址信息，TimpDoor使用免费的地理定位服务以JSON格式获取数据（国家，地区，城市，纬度，经度，公共IP地址和ISP）。在HTTP请求失败的情况下，恶意软件向主控制服务器的网页getIP.php发出HTTP请求，提供“public_ip”值。

收集设备信息后，TimpDoor会启动与控制服务器的安全shell（SSH）连接，通过发送设备ID来获取分配的远程端口。此端口稍后将用于远程端口转发，受感染的设备充当本地Socks代理服务器。除了通过SSH隧道启动代理服务器之外，TimpDoor还建立了保持SSH连接活动的机制，例如监视网络连接的变化以及设置警报以不断检查已建立的SSH隧道：

图8.执行线程检查连接的变化并确保SSH隧道正在运行。

为确保SSH隧道启动，TimpDoor执行updateStatus方法，该方法通过SSH将先前收集的设备信息和本地/公共IP地址数据发送到控制服务器。

四、移动恶意软件分发服务器

通过检查托管VoiceApp.apk的IP地址199.192.19 [.] 18，我们在目录US中找到了更多的APK文件。语音应用程序中的消息是从美国电话号码发送的。

图9.主恶意软件分发服务器的“US”文件夹中的APK文件。

根据服务器上的“上次修改”日期，文件夹中最旧的APK是chainmail.apk（3月12日），而最新的是VoiceApp.apk（8月27日），表明该攻击已运行至少五个月，很可能仍然活跃。

我们可以将APK文件按大小划分为两组（5.1MB和3.1MB）。它们之间的主要区别在于，最旧的使用HTTP代理（LittleProxy），而最新的（7月和8月）使用Socks代理（MicroSocks），它允许在任何端口上为任何类型的网络协议（不仅是HTTP）路由所有流量。其他值得注意的差异是安装包名称，控制服务器URL以及updateStatus方法中appVersion的值 – 范围从1.1.0到1.4.0。

除了US文件夹，我们还找到了一个代表加拿大的CA文件夹。

图10.分发服务器上的“CA”文件夹。

检查CA文件夹中的文件，我们发现VoiceApp.apk和relevanbest.apk与appVersion 1.4.0（Socks代理服务器）是同一个文件。Octarineiads.apk是版本1.1.0，带有HTTP代理。

五、TimpDoor vs MilkyDoor

TimpDoor并不是第一个将Android设备转变为移动代理的恶意软件，它通过SSH隧道使用Socks代理从控制服务器转发网络流量。2017年4月，研究人员发现了MilkyDoor，这是一年前发现的DressCode的继承者。这两种威胁都是在Google Play中作为特洛伊木马程序分发的。DressCode仅在受感染设备上安装Socks代理服务器; MilkyDoor还通过SSH使用远程端口转发来保护该连接以绕过网络安全限制，就像TimpDoor一样。但是，TimpDoor和MilkyDoor之间存在一些相关的差异：

· 分发：TimpDoor使用通过短信分发的完全虚假语音应用程序，而不是成为Google Play中的特洛伊木马程序应用程序的一部分

· SSH连接：当MilkyDoor将设备和IP地址信息上传到控制服务器以接收连接详细信息时，TimpDoor已在其代码中包含信息。TimpDoor使用该信息来获取远程端口以执行动态端口转发并定期发送更新的设备数据。

· 纯代理功能：MilkyDoor显然是广告软件集成商SDK的早期版本，后来又添加了后门功能。TimpDoor的唯一目的（至少在此行动中）是在未经用户同意的情况下保持SSH隧道打开并且在后台运行代理服务器。

MilkyDoor是一个更完整的SDK，具有广告软件和下载功能。TimpDoor只有基本的代理功能，起初使用HTTP代理，后来使用Socks。

六、总结

TimpDoor是Android恶意软件的最新例子，它将设备转变为移动后门，允许网络犯罪分子加密访问内部网络，这对公司及其系统来说是一个巨大的风险。在分发服务器上找到的版本以及在其中实现的简单代理功能表明此威胁可能仍处于开发阶段。我们预计它将演变成新的变种。

虽然Google Play上没有发现这种威胁，但这种通过短信网络钓鱼分发TimpDoor的活动表明，网络犯罪分子仍在使用传统的网络钓鱼技术诱骗用户安装恶意应用程序。

McAfee Mobile Security将此威胁检测为Android / TimpDoor。为了保护免受此类和类似威胁，请在移动设备上使用安全软件，不要安装来自未知来源的应用程序。