A ESET lança o alerta para uma nova ameaça, denominada Android/Twittor que consiste numa backdoor com capacidade para fazer o download de outro malware para um equipamento infectado. Esta app maliciosa pode facilmente ser encontrada em qualquer loja de aplicações Android e espalha-se através de SMS ou via URLs mal-intencionados. Surge como uma app tipo “Porn Player” ou aplicação MMS, mas sem ter as suas funcionalidades.
Após lançado, esconde a sua presença dentro do sistema e contacta a conta Twitter pré-seleccionada a intervalos regulares para obter linhas de comandos. Com base nestes, pode fazer o download de outras aplicações infectadas ou mudar o C&C (command & control) de uma conta Twitter para outra.
Lukáš Štefanko, analista de malware da ESET que descobriu esta app maliciosa, afirma que: “usar o Twitter em vez de servidores C&C é extraordinariamente inovador para uma botnet Android.”
O malware que escraviza dispositivos para formar botnets tem de ser capaz de receber instruções actualizadas. A comunicação sempre foi o calcanhar de Aquiles de qualquer botnet – pode levantar suspeitas e eliminar os bots, o que é sempre letal para o funcionamento de qualquer botnet. Adicionalmente, se os servidores C&C forem apanhados pelas autoridades, a ação pode levar à divulgação de informações sobre toda a botnet.
Para fortalecer a comunicação da botnet Twitoor, os designers da botnet tomaram várias medidas como encriptar as suas mensagens utilizando topologias complexas da rede C&C – ou através da utilização de meios de comunicação inovadores, entre os quais se destaca o uso das redes sociais.
“Estes canais de comunicação são difíceis de descobrir e ainda mais problemáticos de bloquear definitivamente. Por outro lado, é muito fácil para os criminosos conseguirem redireccionar comunicações para outra conta acabada de criar”, explica Štefanko.
Dentro do sistema Windows, o Twitter (fundado em 2006) foi inicialmente utilizado para controlar botnets (desde 2009). Também foram descobertos alguns bots Android que estavam a ser controlados através de outros meios não tradicionais – blogues ou alguns dos muitos sistemas de mensagens na nuvem, como o Google ou o Baidu, mas o Twitoor é o primeiro dos malwares baseado no Twitter. Lukáš Štefanko acrescenta que “podemos esperar, num futuro próximo, que estes criminosos possam utilizar o estado do Facebook, do Linkedin ou outras redes”.
Actualmente, o trojan Twitoor foi fazendo download de várias versões de malware de banca online. No entanto, os operadores de botnets podem começar a distribuir outros tipos de malware, incluindo ransomware, e a qualquer momento, advertiu Štefanko.
“O Twitoor serve como outro exemplo de como os cibercriminosos continuam a inovar os seus negócios”, afirmou o analista. “A conclusão? Os utilizadores da Internet devem utilizar soluções de segurança cada vez melhores tanto para os seus computadores como para os dispositivos móveis. “
