Twitoor – Un malware Android contrôlé via Twitter (C&C botnet)

4
98

Twitoor est un tout nouveau malware venant d’être découvert après environ un mois d’activité sur la Toile. Il a pour but la création d’un réseau de botnet d’appareils mobiles et s’appuie entièrement sur les messages privés du réseau social Twitter pour recevoir les commandes à distance.

Le malware est certes peut sophistiqué, mais les chercheurs d’ESET à l’origine de sa découverte pointent tout de même le fait qu’il s’agit du tout premier botnet Android connu exploitant le réseau social Twitter pour aller chercher ses ordres, en s’en servant comme d’un serveur de commande et de contrôle (C&C). Twitoor s’en prend uniquement aux terminaux mobiles sous Android. Il se diffuse via des liens et des SMS malveillants, ou encore, se fait passer pour des faux lecteurs de vidéos. Une fois installé, en plus de créer un appareil zombie, il va télécharger un autre malware, cette fois spécialisé dans le vol de données bancaires.

Ce sont plus particulièrement les messages privés (MP) de Twitter qui permettent au programme malveillant de prendre ses instructions, envoyées au préalable par le botmaster. Le malware est donc innovant sur ce point, et cela lui permet d’être plus résistant à une potentielle intervention extérieure : dans le cas d’un botnet standard, si le serveur C&C principal tombe, le réseau de zombies se retrouvera hors de contrôle. Mais dans le cas précis de Twitoor, c’est un simple compte Twitter qui est lié, et donc facilement remplaçable par un nouveau en cas de clôture par les autorités ou tout simplement à la suite d’une dénonciation.

ESET avait déjà vu par le passé ce type de comportement, mais uniquement sur des botnets s’attaquant à des PC. Les attaquants pourront à l’avenir utiliser ce genre de moyens détournés pour contrôler leurs créations, comme par exemple le chat Google ou Facebook, ou bien des statuts sur des comptes fantômes LinkedIn, Facebook, Twitter, PasteBin, voir même de simples blogs… à une certaine époque, ICQ était largement utilisé pour contrôler ce type de botnet.

Lukáš Štefanko, celui ayant découvert Twitoor assure que le malware est prêt à installer tout type de menaces sur les appareils infectés, notamment des ransomwares Android. Prudence au faux liens !

Hashs MD5 connus du malware :

  • E5212D4416486AF42E7ED1F58A526AEF77BE89BE
  • A9891222232145581FE8D0D483EDB4B18836BCFC
  • AFF9F39A6CA5D68C599B30012D79DA29E2672C6E

Les commentaires sont fermés.