Злоумышленники используют Twitter для управления вредоносным ПО для Android

    Наши специалисты обнаружили интересный экземпляр вредоносного ПО для Android, который обнаруживается AV-продуктами ESET как Android/Twitoor. Особенность этого трояна заключается в том, что он управляется злоумышленниками с использованием сервиса микроблогов Twitter. Twitoor содержит в себе функции бэкдора и специализируется на загрузке других вредоносных программ на устройство. Вредоносное приложение Twitoor распространяется с использованием фишинговых SMS-сообщений или фальшивых ссылок. Оно маскируется под проигрыватель порно-роликов или под приложение для отправки MMS-сообщений. После своего запуска в системе, Twitoor скрывает там свое присутствие, а затем регулярно проверяет активность одного из аккаунтов в Twitter.

    Сообщения в этом аккаунте Twitter представляют из себя команды, предназначающиеся для трояна Twitoor. Мы обнаружили два типа таких команд: первый используется для загрузки других вредоносных приложений, а второй для переключения аккаунта в Twitter. Так или иначе, вредоносным программам нужно взаимодействовать с управляющим C&C-сервером и получать от него инструкции. Данная активность бота является его слабым местом, поскольку проходящий трафик является очевидным индикатором вредоносных действий. С другой стороны, C&C-сервер вредоносной программы может быть демонтирован правоохранительными органами.


    Аккаунт злоумышленников в Twitter, а также сообщения для бота.

    Для создания более надежного канала при взаимодействии трояна со своим C&C-сервером, авторы Twitoor предприняли ряд шагов, например, используют шифрование сообщений, а также могут отправить трояну функцию переключения аккаунта Twitter. Вторая мера позволяет злоумышленникам быстро переключить бот на получение новых инструкций в том случае, если текущий аккаунт был заблокирован.


    Запрашиваемые вредоносным приложением права.

    На сегодняшний день уже известны вредоносные программы для Windows, которые использовали Twitter в качестве инструмента управления. Одна из таких вредоносных программ была обнаружена в 2009 г. В случае с вредоносным ПО для Android, ранее, также наблюдалось вредоносное ПО, использующие нестандартные каналы управления, в том числе, блоги или некоторые сервисы обмена мгновенными сообщениями от Google или Baidu.

    Мы наблюдали загрузку вредоносным ПО Android/Twitoor банковских троянов для Android.
    ESET NOD32
    107,00
    Компания
    Поделиться публикацией

    Похожие публикации

    Комментарии 3

      0
      Глупый вопрос, но если нынешний аккаунт будет заблокирован, как они отправят команду на смену аккаунта?
        +1
        Отправляют судя по всему сразу список резервных аккаунтов, на которые приложение переключается при блокировке аккаунта/при длительном отсутствии команд от основного. Ну, я бы так делал.
          0
          А я бы в коде прописал правила семантики для имен новых аккаунтов:
          2цифры+3больших буквы+tooltwit+CRC(8) в strhex

          Всё. Если нынешний ак заблокирован, бот ищет ак по части tooltwit, далее фильтрует по семантике, а общается с самым ранее созданным аком.

      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

      Самое читаемое