25 August 2016

Злоумышленники используют Twitter для управления вредоносным ПО для Android

ESET NOD32 corporate blog
Наши специалисты обнаружили интересный экземпляр вредоносного ПО для Android, который обнаруживается AV-продуктами ESET как Android/Twitoor. Особенность этого трояна заключается в том, что он управляется злоумышленниками с использованием сервиса микроблогов Twitter. Twitoor содержит в себе функции бэкдора и специализируется на загрузке других вредоносных программ на устройство. Вредоносное приложение Twitoor распространяется с использованием фишинговых SMS-сообщений или фальшивых ссылок. Оно маскируется под проигрыватель порно-роликов или под приложение для отправки MMS-сообщений. После своего запуска в системе, Twitoor скрывает там свое присутствие, а затем регулярно проверяет активность одного из аккаунтов в Twitter.

Сообщения в этом аккаунте Twitter представляют из себя команды, предназначающиеся для трояна Twitoor. Мы обнаружили два типа таких команд: первый используется для загрузки других вредоносных приложений, а второй для переключения аккаунта в Twitter. Так или иначе, вредоносным программам нужно взаимодействовать с управляющим C&C-сервером и получать от него инструкции. Данная активность бота является его слабым местом, поскольку проходящий трафик является очевидным индикатором вредоносных действий. С другой стороны, C&C-сервер вредоносной программы может быть демонтирован правоохранительными органами.


Аккаунт злоумышленников в Twitter, а также сообщения для бота.

Для создания более надежного канала при взаимодействии трояна со своим C&C-сервером, авторы Twitoor предприняли ряд шагов, например, используют шифрование сообщений, а также могут отправить трояну функцию переключения аккаунта Twitter. Вторая мера позволяет злоумышленникам быстро переключить бот на получение новых инструкций в том случае, если текущий аккаунт был заблокирован.


Запрашиваемые вредоносным приложением права.

На сегодняшний день уже известны вредоносные программы для Windows, которые использовали Twitter в качестве инструмента управления. Одна из таких вредоносных программ была обнаружена в 2009 г. В случае с вредоносным ПО для Android, ранее, также наблюдалось вредоносное ПО, использующие нестандартные каналы управления, в том числе, блоги или некоторые сервисы обмена мгновенными сообщениями от Google или Baidu.

Мы наблюдали загрузку вредоносным ПО Android/Twitoor банковских троянов для Android.
Tags:android
Hubs: ESET NOD32 corporate blog
+5
4.5k 17
Comments 3
Ads