Наши специалисты обнаружили интересный экземпляр вредоносного ПО для Android, который обнаруживается AV-продуктами ESET как Android/Twitoor. Особенность этого трояна заключается в том, что он управляется злоумышленниками с использованием сервиса микроблогов Twitter. Twitoor содержит в себе функции бэкдора и специализируется на загрузке других вредоносных программ на устройство. Вредоносное приложение Twitoor распространяется с использованием фишинговых SMS-сообщений или фальшивых ссылок. Оно маскируется под проигрыватель порно-роликов или под приложение для отправки MMS-сообщений. После своего запуска в системе, Twitoor скрывает там свое присутствие, а затем регулярно проверяет активность одного из аккаунтов в Twitter.Сообщения в этом аккаунте Twitter представляют из себя команды, предназначающиеся для трояна Twitoor. Мы обнаружили два типа таких команд: первый используется для загрузки других вредоносных приложений, а второй для переключения аккаунта в Twitter. Так или иначе, вредоносным программам нужно взаимодействовать с управляющим C&C-сервером и получать от него инструкции. Данная активность бота является его слабым местом, поскольку проходящий трафик является очевидным индикатором вредоносных действий. С другой стороны, C&C-сервер вредоносной программы может быть демонтирован правоохранительными органами.
Аккаунт злоумышленников в Twitter, а также сообщения для бота.
Для создания более надежного канала при взаимодействии трояна со своим C&C-сервером, авторы Twitoor предприняли ряд шагов, например, используют шифрование сообщений, а также могут отправить трояну функцию переключения аккаунта Twitter. Вторая мера позволяет злоумышленникам быстро переключить бот на получение новых инструкций в том случае, если текущий аккаунт был заблокирован.
Запрашиваемые вредоносным приложением права.
На сегодняшний день уже известны вредоносные программы для Windows, которые использовали Twitter в качестве инструмента управления. Одна из таких вредоносных программ была обнаружена в 2009 г. В случае с вредоносным ПО для Android, ранее, также наблюдалось вредоносное ПО, использующие нестандартные каналы управления, в том числе, блоги или некоторые сервисы обмена мгновенными сообщениями от Google или Baidu.
Мы наблюдали загрузку вредоносным ПО Android/Twitoor банковских троянов для Android.
Поделиться с друзьями
mwizard
Глупый вопрос, но если нынешний аккаунт будет заблокирован, как они отправят команду на смену аккаунта?
weirded
Отправляют судя по всему сразу список резервных аккаунтов, на которые приложение переключается при блокировке аккаунта/при длительном отсутствии команд от основного. Ну, я бы так делал.
Varkus
А я бы в коде прописал правила семантики для имен новых аккаунтов:
2цифры+3больших буквы+tooltwit+CRC(8) в strhex
Всё. Если нынешний ак заблокирован, бот ищет ак по части tooltwit, далее фильтрует по семантике, а общается с самым ранее созданным аком.