Una aplicación falsa enviada a través de SMS puede poner en peligro a los sistemas Android, ya que permite el uso de dispositivos infectados como proxys y el robo de datos. Así lo dio a conocer la compañía de seguridad digital S21sec al analizar y detectar muestras de un malware denominado TimpDoor.

Este malware es transmitido por medio de una aplicación que muestra dos supuestas notas de voz y una vez que es instalada y ejecutada, se activa en segundo plano, lo cual permite que el malware obtenga toda la información posible sobre el dispositivo infectado.

TimpDoor redirecciona todo el tráfico cifrado a un servidor de un tercero. De esa forma se saltan mecanismos de seguridad como firewalls e IDS. “Estos permisos, además, permiten a la aplicación tener acceso a Internet”, advirtió la empresa de seguridad española en un comunicado.

Cómo opera

De acuerdo con los análisis hechos por S21sec, en los mensajes SMS utilizados para esta campaña se informa a las víctimas potenciales de la existencia de dos mensajes en su buzón de voz. Para poder acceder a estos mensajes debían acceder a un link adjunto en el mensaje. Este link redirige a una página fraudulenta en la que se incluyen unas instrucciones para descargar una supuesta aplicación de mensajería.

Las instrucciones muestran cómo descargar la aplicación, además de cómo acceder a los ajustes para permitir la opción de “fuentes desconocidas”. Cuando la víctima da clic en el icono de “Descarga Voice App” el archivo VoiceApp.apk es descargado de un servidor remoto.

Cuando la víctima escucha los mensajes de audio y cierra la aplicación, el icono de ésta se elimina de la pantalla principal, lo que dificulta su eliminación, aunque ésta continúa ejecutándose.

Tras el análisis de las muestras obtenidas de TimpDoor, S21sec detectó que se trata de un malware todavía en desarrollo, por lo que es posible que durante los próximos meses se lleven a cabo nuevas variantes del mismo.

TimpDoor es un ejemplo más de cómo un malware de Android puede convertir los dispositivos móviles en puertas traseras con los que acceder a las redes internas, lo que puede suponer un gran riesgo para las empresas. Por lo cual se recomienda:

• No acceder a ningún enlace sospechoso.
• No confiar en SMS ni emails que provengan de desconocidos.
• Evitar la instalación de aplicaciones de terceros y confiar únicamente en las descargadas e instaladas desde GooglePlay.

S21sec destacó que un aspecto curioso de TimpDoor es la forma en la cual ha sido distribuido, pues a diferencia de otros malwares encontrados en aplicaciones de Android, éste se ha distribuido a través de SMS y no fue encontrado dentro de Google Play, abriendo camino a diferentes formas de infección e incrementando la vulnerabilidad de los usuarios.