Prima reţea botnet Android controlată prin Twitter

Cercetătorii ESET semnalează apariţia unui nou troian backdoor pentru Android, capabil să descarce alte aplicaţii maliţioase pe dispozitivele victimelor, răspunzând la comenzi primite prin postări lăsate de hackeri în reţeaua Twitter.

Detectat de ESET drept Android/Twitoor, aceasta este prima aplicaţie maliţioasă care foloseşte Twitter-ul în detrimentul servelor tradiţionalelor de comandă şi control (C & C). După activare, malware-ul îşi ascunde prezenţa în sistem şi verifică pentru comenzi suplimentare contul Twitter definit, la intervale regulate. Bazându-se pe comenzile primite, troianul poate fie să descarce aplicaţii rău intenţionate, fie să schimbe contul Twitter de C & C cu altul.

“Folosirea Twitter-ului pentru a controla o reţea botnet este un pas inovator pentru platforma Android”,  afirmă Lukáš Štefanko, cercetătorul malware ESET care a descoperit aplicaţia maliţioasă.

Conform lui Štefanko, canalele de comunicare bazate pe reţelele de socializare sunt greu de descoperit şi imposibil de blocat în întregime –  în acelaşi timp, este extrem de uşor pentru escroci să redirecţioneze comunicaţiile într-un alt cont.

Twitter a fost folosit pentru prima dată pentru a controla reţelele botnet, în 2009. “Pentru mediul Android, acest mijloc de ascundere a rămas neexploatat până în prezent. Cu toate acestea, în viitor ne putem aştepta ca infractorii să încerce să folosească statusurile de pe Facebook sau de pe LinkedIn sau să folosească alte reţele sociale”, afirmă Štefanko.

Android/Twitoor a fost activ începând cu iulie 2016. Nu poate fi găsit în orice magazin oficial Android App – probabil se răspândeşte prin SMS sau prin URL-uri rău intenţionate. Simulează o aplicaţie cu tentă porno sau o aplicaţie MMS, dar fără a avea funcţionalitatea lor. În schimb, a descărcat mai multe versiuni de malware pentru mobile banking. Totuşi, operatorii botnet-ului pot începe să distribuie alt tip de malware în orice moment, inclusiv ransomware, conform lui Štefanko.

„Twitoor serveşte ca un alt exemplu privind modul în care infractorii cibernetici îşi inovează afacerea. Utilizatorii de internet ar trebui să continue să-şi securizeze activităţilor lor cu soluţii de securitate bune atât pentru computere, cât şi pentru dispozitive mobile „, conchide Lukáš Štefanko.