Зловмисники використовують Twitter для управління шкідливим ПЗ для Android

Наші фахівці виявили цікавий екземпляр шкідливого ПЗ для Android, який виявляється AV-продуктами ESET як Android/Twitoor. Особливість цього трояна полягає в тому, що він управляється зловмисниками з використанням сервісу мікроблогів Twitter. Twitoor містить в собі функції бекдор і спеціалізується на завантаження інших шкідливих програм на пристрій. Шкідливий додаток Twitoor поширюється з використанням фішингових SMS-повідомлень або фальшивих посилань. Воно маскується під програвач порно-роликів або під додаток для відправки MMS-повідомлень. Після свого запуску у системі, Twitoor приховує там свою присутність, а потім регулярно перевіряє активність одного з акаунтів у Twitter.

Повідомлення у цьому акаунті Twitter представляють із себе команди, що призначаються для трояна Twitoor. Ми виявили два типи таких команд: перший використовується для завантаження інших шкідливих програм, а другий для перемикання аккаунта в Twitter. Так чи інакше, шкідливим програмам потрібно взаємодіяти з керуючим C&C-сервером і отримувати від нього інструкції. Дана активність бота є його слабким місцем, оскільки проходить трафік є очевидним індикатором шкідливих дій. З іншого боку, C&C-сервер шкідливої програми може бути демонтований правоохоронними органами.


Акаунт зловмисників в Twitter, а також повідомлення для бота.

Для створення більш надійного каналу при взаємодії трояна зі своїм C&C-сервером, автори Twitoor зробили ряд кроків, наприклад, використовують шифрування повідомлень, а також можуть відправити трояну функцію перемикання облікового запису Twitter. Друга міра дозволяє зловмисникам швидко переключити бот на отримання нових інструкцій у тому випадку, якщо поточний аккаунт був заблокований.


Запитувані шкідливим додатком права.

На сьогоднішній день вже відомі шкідливі програми для Windows, які використовували Twitter в якості інструменту управління. Одна з таких шкідливих програм була виявлена у 2009 р. У випадку з шкідливим ПЗ для Android, раніше, також спостерігалося шкідливе ПЗ, використовують нестандартні канали управління, в тому числі, блоги або деякі сервіси обміну миттєвими повідомленнями Google або Baidu.

Ми спостерігали завантаження шкідливим ПЗ Android/Twitoor банківських троянів для Android.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.