Наши специалисты обнаружили интересный экземпляр вредоносного ПО для Android, который обнаруживается AV-продуктами ESET как Android/Twitoor. Особенность этого трояна заключается в том, что он управляется злоумышленниками с использованием сервиса микроблогов Twitter. Twitoor содержит в себе функции бэкдора и специализируется на загрузке других вредоносных программ на устройство. Вредоносное приложение Twitoor распространяется с использованием фишинговых SMS-сообщений или фальшивых ссылок. Оно маскируется под проигрыватель порно-роликов или под приложение для отправки MMS-сообщений. После своего запуска в системе, Twitoor скрывает там свое присутствие, а затем регулярно проверяет активность одного из аккаунтов в Twitter.
Сообщения в этом аккаунте Twitter представляют из себя команды, предназначающиеся для трояна Twitoor. Мы обнаружили два типа таких команд: первый используется для загрузки других вредоносных приложений, а второй для переключения аккаунта в Twitter. Так или иначе, вредоносным программам нужно взаимодействовать с управляющим C&C-сервером и получать от него инструкции. Данная активность бота является его слабым местом, поскольку проходящий трафик является очевидным индикатором вредоносных действий. С другой стороны, C&C-сервер вредоносной программы может быть демонтирован правоохранительными органами.
Аккаунт злоумышленников в Twitter, а также сообщения для бота.
Для создания более надежного канала при взаимодействии трояна со своим C&C-сервером, авторы Twitoor предприняли ряд шагов, например, используют шифрование сообщений, а также могут отправить трояну функцию переключения аккаунта Twitter. Вторая мера позволяет злоумышленникам быстро переключить бот на получение новых инструкций в том случае, если текущий аккаунт был заблокирован.
Запрашиваемые вредоносным приложением права.
На сегодняшний день уже известны вредоносные программы для Windows, которые использовали Twitter в качестве инструмента управления. Одна из таких вредоносных программ была обнаружена в 2009 г. В случае с вредоносным ПО для Android, ранее, также наблюдалось вредоносное ПО, использующие нестандартные каналы управления, в том числе, блоги или некоторые сервисы обмена мгновенными сообщениями от Google или Baidu.
Мы наблюдали загрузку вредоносным ПО Android/Twitoor банковских троянов для Android.
Свежие комментарии