Alrededor de 200 aplicaciones de Android contienen la puerta trasera MilkyDoor, la cual ha sido creada para atacar las redes internas, servidores privados además de los datos y activos de una empresa.

De acuerdo con Trend Micro, una empresa de seguridad empresarial, las aplicaciones infectadas son troyanos que se hacen pasar por guías de estilos y aplicaciones para dibujar. Se trataba probablemente de aplicaciones legítimas pero los atacantes las han reemplazado y republicado en Google Play para aprovechar la popularidad que han ganado y atraer a más víctimas. Algunas de las aplicaciones infectadas tenían un rango de 500,000 a un millón de descargas en Google Play.

“MilkyDoor es similar a DressCode (una familia de malware que afectó a varias empresas) dado que ambos emplean un servidor proxy usando el protocolo SOCKS para obtener un punto de apoyo y acceder a las redes internas conectadas a los dispositivos móviles infectados”, explicó en un análisis Echo Duan y Jason Gu, investigadores de Trend Micro. “MilkyDoor, tal vez de forma inadvertida, provee a los atacantes una forma de realizar el reconocimiento y acceso a los servicios vulnerables de una empresa utilizando sus servidores proxies. Además, todo se realiza sin el conocimiento o consentimiento del usuario.”

MilkyDoor agrega algunas funcionalidades con respecto a DressCode, incluyendo rutinas clandestinas que le permite saltarse las restricciones de seguridad y ocultar sus actividades maliciosas entre el tráfico normal de la red.

“La forma en la que MilkyDoor crea los túneles SSH presenta retos de seguridad para la red de las organizaciones, particularmente en redes que permiten dispositivos BYOD (Bring Your Own Device)”, dijeron los investigadores. “Su forma de ocultarse reside en la forma en que las aplicaciones infectadas no tienen permisos adecuados y además existen dentro de dispositivos con comportamiento de comunicación regular o aparentemente benigno”.

MilkyDoor puede otorgar a los atacantes acceso de forma secreta a una variedad de servicios de una empresa, desde servicios web y FTP hasta SMTP en la red interna. Desde ahí pueden observar y localizar servidores públicos y vulnerables que carezcan de mecanismos de autenticación en sus bases de datos internas.

“Rastreando el malware y su SDK (herramientas de desarrollo) se reveló que fue distribuido desde agosto del 2016”, dijeron los investigadores. “Las versiones anteriores tenían capacidades de adware, las capacidades de puerta trasera fueron agregadas hasta la versión 1.0.3. Nuestra investigación en MilkyDoor también nos llevó a un servicio de arbitraje de tráfico que fue publicitado en un sistema de tablones de anuncios ruso (BBS). Nosotros interpretamos que el túnel SSH que construye MilkyDoor es usado para crear tráfico falso y realizar fraude con los clics registrados en anuncios y generar ganancias para los atacantes”

Dentro de las mejores prácticas que los usuarios de dispositivos móviles pueden adoptar para protegerse de MilkyDoor y otras amenazas están tener cuidado de las aplicaciones sospechosas y mantener el sistema operativo del dispositivo actualizado.