Heb je ooit gedacht dat een botnet van Android-apparaten kan worden bediend via Twitter? Dit is niet langer een theorie, want het is al gebeurd, zoals beschreven door onderzoekers van ESET. het botnet, nagesynchroniseerde Android / Twitoor of gewoon Twitoor wordt gebruikt om de controle berichten te verspreiden naar gecompromitteerde handsets. Momenteel, de lading van de operatie is banking malware.
Android / Twitoor: technisch overzicht
Android / Twitoor een achterdeur kan downloaden andere malware op een geïnfecteerd inrichting, onderzoekers zeggen.
Volgens CASE, het botnet is actief geweest voor ongeveer een maand. De app kan niet worden gevonden op een officiële Android app store, dus het is zeer waarschijnlijk dat het botnet zich verspreidt via SMS of via kwaadaardige URL.
Bovendien, dat zich voordoet als een porno-speler app of MMS-applicatie het niet dat functionaliteit.
Hoe wordt de aanval uitgevoerd? De Twitoor trojan zou controleren Twitter accounts met een bepaalde regelmaat naar nieuwe opdrachten. Dan, botnet operator zou tweet uit instructies, geïnterpreteerd door de Trojaanse en omgevormd tot kwaadaardige acties.
Lukáš Štefanko, de ESET malware onderzoeker die de kwaadaardige app ontdekt, zegt dat het gebruik van Twitter in plaats van een commando & control server is heel innovatief voor een Android-botnet.
Malware die apparaten om botnets te vormen tot slaaf moet in staat zijn om op de hoogte te ontvangen. Die mededeling is een achilleshiel voor een botnet - het kan vermoeden te verhogen en, het snijden van de bots off is altijd dodelijk is voor het functioneren van het botnet.
Wat is meer, als de opdracht & control server wordt gedetecteerd door de politie, het zou meer informatie over het botnet en haar activiteiten te onthullen.
De mededeling van de Twitoor botnet veerkrachtiger te maken, botnet ontwerpers diverse stappen gezet, zoals het versleutelen hun berichten, gebruik van complexe topologieën van de C&C netwerk - of die een vernieuwende communicatiemiddelen, waaronder het gebruik van sociale netwerken.
Een specifiek kenmerk van de Android / Twitoor maakt het mogelijk om de Twitter-C te schakelen&C-accounts om een nieuwe account waar nodig, dat maakt het nog gevaarlijker. Volgens Štefanko, de botnet wordt momenteel ingezet om banking malware te verspreiden, maar de kwaadaardige lading kan worden gewijzigd, afhankelijk van de boeven’ agenda.
Lukáš Štefanko verwacht dat de malware exploitanten op zou verhuizen naar andere sociale netwerken zoals Facebook of LinkedIn aan het botnet te zetten.