Les chercheurs ESET ont découvert une porte dérobée sous Android qui contient un Cheval de Troie et qui est contrôlée par des tweets. Détecté par ESET comme Android/Twitoor, il s’agit de la première application malveillante utilisant Twitter au lieu d’une commande et d’un contrôle traditionnel de serveur (C&C).
Après son lancement, le Cheval de Troie cache sa présence sur le système et vérifie le compte Twitter défini par intervalle régulier pour les commandes. Sur la base des commandes reçues, il peut soit télécharger des applications malveillantes, soit basculer le serveur C&C d’un compte Twitter à un autre.
« L’utilisation de Twitter pour contrôler un botnet est une étape innovante pour une plateforme Android », explique Lukáš Štefanko, malware researcher chez ESET et qui a découvert cette application malicieuse.
Selon Lukáš Štefanko, les canaux de communication basés sur des réseaux sociaux sont difficiles à découvrir et impossible à bloquer entièrement – alors qu’il est extrêmement facile pour les escrocs de rediriger les communications vers un autre compte de façon simultanée.
Twitter a d’abord été utilisé pour contrôler les botnets de Windows en 2009. « En ce qui concerne l’espace Android, ce moyen de dissimulation est resté inexploité jusqu'à présent. Cependant, nous pouvons nous attendre à l’avenir à ce que les cybercriminels essayent de faire usage des statuts de Facebook ou de déployer leurs attaques sur LinkedIn et autres réseaux sociaux » , prévoit Lukáš Štefanko.
Android/Twitoor est actif depuis juillet 2016.Il ne peut pas être trouvé sur l’un des app store officiels d’Android (selon Lukáš Štefanko ) mais il est probable qu’il se propage par SMS ou via des URL malveillantes. Il prend l’apparence d’une application mobile pour adulte ou d’une application MMS mais sans fonctionnalité. Plusieurs versions de services bancaires mobiles infectés par un malware ont été téléchargées. Cependant, les opérateurs de botnet peuvent commencer à distribuer d’autres logiciels malveillants à tout moment, y compris des ransomwares selon Lukáš Štefanko.
Twitoor est le parfait exemple de l’innovation des cybercriminels pour leur business. Les utilisateurs d’Internet devraient continuer à protéger leurs activités avec de bonnes solutions de sécurité valables pour les ordinateurs et les appareils mobiles », conclut Lukáš Štefanko.
Si vous souhaitez plus d’informations, rendez-vous sur notre blog We Live Security.