Les chercheurs d’ESET ont découvert une porte
dérobée sous Android contenant un Cheval de Troie et contrôlée par des tweets.
Détecté par ESET comme étant Android/Twitoor, c’est la première application de malware
qui utilise Twitter en lieu et place d’une commande et d’un contrôle (C&C)
traditionnel de serveur.
Une fois lancé, le Cheval de Troie cache sa présence sur le système et
vérifie le compte Twitter défini par intervalles réguliers pour les commandes.
Sur base des commandes reçues, il peut ou télécharger des malware, ou basculer
le serveur C&C d’un compte Twitter à un autre.
«Utiliser Twitter pour contrôler un botnet est une nouvelle étape pour
une plateforme Android », selon Lukáš Štefanko, chercheur en malware chez
ESET ayant découvert cette application de malware.
Pour Lukáš Štefanko, les canaux de communication basés sur des réseaux
sociaux sont difficiles à découvrir et impossibles à bloquer complètement –
alors que pour les escrocs il est très facile de rediriger les communications
vers un autre compte de façon simultanée.
Twitter a d’abord été utilisé pour contrôler les botnets de Windows en
2009. « En ce qui concerne Android, ce moyen de dissimulation est resté
inexploité jusqu’à présent. Cependant, nous pouvons nous attendre à l’avenir à
ce que les cybercriminels essayent d’utiliser des statuts de Facebook ou de
déployer leurs attaques sur LinkedIn et autres réseaux sociaux », ajoute
Lukáš Štefanko.
Android/Twitoor est actif depuis juillet 2016. Il ne peut pas être trouvé
sur l’un des app store officiels d’Android (selon Lukáš Štefanko ) mais il est
probable qu’il se propage par SMS ou via des URL malveillantes. Il prend
l’apparence d’une application mobile pour adulte ou d’une application MMS mais
sans fonctionnalité. Plusieurs versions de services bancaires mobiles infectés
par un malware ont été téléchargées. Cependant, les opérateurs de botnet
peuvent commencer à distribuer d’autres logiciels malveillants à tout moment, y
compris des ransomwares selon Lukáš Štefanko.
Twitoor est le parfait exemple de l’innovation des cybercriminels dans
leur secteur d’activités. Les utilisateurs d’Internet doivent continuer à
protéger leurs activités avec de bonnes solutions de sécurité, valables pour les
ordinateurs et les appareils mobiles », confirme Lukáš Štefanko.