Android/Twitoor este un backdoor capabil să descarce secvența malware pe dispozitivul infectat. Acesta a fost activ timp de aproximativ o lună. Această aplicație rău intenționată nu pot fi găsită în orice magazin oficial Android App - probabil se răspândește prin SMS sau prin URL-uri rău intenționate. Simulează o aplicație cu tentă porno sau o aplicație MMS, dar fără a avea funcționalitatea lor.
După lansare, își ascunde prezența în sistem și verifică contul Twitter definit, la intervale regulate, pentru comenzi. Bazându-se pe comenzile primite, aceasta poate fie să descarce aplicații rău intenționate fie să schimbe contul Twitter de C & C la altul.
"Folosirea Twitter-ului în loc de serverele de comandă și control (C & C), este destul de inovator pentru o rețea botnet Android", spune Lukáš Štefanko, cercetător malware la ESET, care a descoperit aplicația rău intenționată.
Secvența malware care folosește dispozitivele pentru a forma o rețea botnet trebuie să fie capabilă de a primi instrucțiuni actualizate. Acea comunicare reprezintă “călcâiul lui Ahile” pentru orice botnet - ar putea ridica suspiciuni, iar renunțarea la dispozitive este întotdeauna letală pentru funcționarea botnetului.
În plus, serverele de comandă și control (C & C) ar trebui să închise de către autorități, aceasta măsură ar conduce în cele din urmă la dezvăluirea informațiilor despre întreaga rețea botnet.
Pentru a face comunicarea botnet Twitoor mai rezistentă, designerii botnetului au luat diverse măsuri cum ar fi criptarea mesajelor lor, folosind topologii complexe ale rețelei de C & C - sau folosind mijloace inovatoare de comunicare, printre care utilizarea rețelelor sociale.
"Aceste canale de comunicare sunt greu de descoperit și chiar mai greu de blocat în întregime. Pe de altă parte, este extrem de ușor pentru escroci să redirecționeze comunicațiile într-un alt cont nou creat ", explică Štefanko.
În mediul Windows, Twitter (înființat în 2006) a fost folosit pentru prima dată pentru a controla o rețea botnet încă din 2009. Roboții Android au de asemenea descoperiți ca fiind controlați prin alte mijloace netradiționale – prin blog-uri sau prin unele dintre numeroasele sisteme de mesagerie cloud precum Google sau Baidu – dar Twitoor este primul bot malware bazat pe Twitter, potrivit Štefanko.
"În viitor, ne putem aștepta ca infractorii să încerce să exploateze statusurile de pe Facebook sau de pe LinkedIn sau să folosească alte rețele sociale", afirmă cercetătorul ESET.
În prezent, troianul Twitoor a descărcat mai multe versiuni de malware pentru mobile banking. Cu toate acestea, operatorii botnetului pot începe să distribuie alte tipuri de malware, inclusiv ransomware, în orice moment, avertizează Štefanko.
"Twitoor servește ca un alt exemplu privind modul în care infractorii cibernetici își inovează afacerea. Utilizatorii de internet ar trebui să continue să-și securizeze activităților lor cu soluții de securitate bune atât pentru computere, cât și pentru dispozitive mobile ", conchide Lukáš Štefanko.
HASHES:
E5212D4416486AF42E7ED1F58A526AEF77BE89BE
A9891222232145581FE8D0D483EDB4B18836BCFC
AFF9F39A6CA5D68C599B30012D79DA29E2672C6E
EDITOR
Lasa un comentariu