Обнаружен первый Android-ботнет, управляемый через Twitter

Оказавшись на устройстве, Android/Twitoor загружает в основном мобильные банковские трояны.

Специалисты словацкой компании ESET обнаружили первый Android-ботнет, использующий сеть микроблогов Twitter в качестве управляющего сервера. Данный функционал был выявлен во вредоносном приложении под названием Android/Twitoor, способном устанавливать дополнительное вредоносное ПО на инфицированном устройстве. Программа распространяется под видом проигрывателя для воспроизведения интим-видео или приложения для обмена сообщениями, однако не обладает подобным функционалом.

После запуска Android/Twitoor скрывает свое присутствие на системе и осуществляет регулярные проверки определенной учетной записи Twitter. В зависимости от полученных команд, приложение либо загружает дополнительное вредоносное ПО, либо переключается на другой аккаунт Twitter.

По словам исследователя ESET Лукаша Штефанко (Lukš Štefanko), преступники и ранее использовали соцсеть в качестве C&C-сервера, однако это впервые, когда ресурс служит для управления ботнетом, состоящим из Android-устройств. Контроль через Twitter устраняет необходимость поддерживать C&C-сервер, кроме того, коммуникации между учетными записями сложнее обнаружить. Злоумышленникам не представляет никакого труда изменить канал связи и перенаправить коммуникации на другой аккаунт.

Поскольку Android/Twitoor не был обнаружен ни в одном из магазинов приложений, исследователи полагают, что зловред распространяется посредством вредоносных ссылок, отправляемых на устройство жертвы. Оказавшись на устройстве, Android/Twitoor загружает в основном мобильные банковские трояны.