Investigadores de ESET hallaron una nueva amenaza que afecta a dispositivos móviles con sistema operativo Android, a los cuales convierte en parte de una botnet. Lo que llama la atención de su funcionamiento es que es controlada por medio de tuits publicados en varias cuentas de Twitter. En base a los comandos recibidos, incluidos en esos tuits, puede descargar malware adicional, apps maliciosas o cambiar la cuenta de Twitter de C&C por otra.

Se trata de Android/Twitoor, un backdoor que está activo desde hace aproximadamente un mes. Esta app maliciosa, detectada por ESET como una variante de Android/Twitoor.A, no puede ser hallada en ninguna tienda oficial de Android; probablemente se propaga por SMS o URLs maliciosas. Lo que sabemos es que se hace pasar por aplicaciones MMS o para reproducir contenido pornográfico.

Después de ejecutarse, oculta su presencia en el sistema y verifica la cuenta de Twitter definida a intervalos regulares.

"El uso de Twitter en vez de servidores de C&C es bastante innovador para una botnet en Android"
"El uso de Twitter en vez de servidores de C&C es bastante innovador para una botnet en Android", dice Lukáš Štefanko, el investigador de malware de ESET que descubrió la aplicación maliciosa.

El malware que domina los dispositivos para formar botnets debe ser capaz de recibir instrucciones actualizadas. Esa comunicación es el talón de Aquiles para cualquier botnet, ya que puede levantar sospechas, pero eliminar los bots es siempre letal para el funcionamiento de la red zombi.

Adicionalmente, si los servidores de Comando y Control fuesen interrumpidos por las autoridades, les servirían para llegar a información sobre la propia botnet.

Para hacer la comunicación de la botnet Twitoor más sigilosa, los creadores tomaron varias medidas como cifrar sus mensajes, usando topologías complejas de la red de C&C, o usar medios innovadores como las redes sociales.

"Estos canales de comunicación son difíciles de descubrir e incluso más difíciles de bloquear por completo. Por otro lado, es extremadamente fácil para los criminales redireccionar las comunicaciones a otra cuenta recién creada", explica Štefanko.

Twitter, fundada en 2006, fue usada para controlar botnets en Windows por primera vez en 2009. También se han encontrado bots de Android controlados por otros medios no tradicionales, como blogs o alguno de los muchos sistemas de mensajería en la nube como el de Google o el de Baidu; pero Twitoor es el primer bot malicioso basado en Twitter que afecta a dispositivos Android, según Štefanko.

"En el futuro, podemos esperar que los cibercriminales traten de usar los estados de Facebook o las publicaciones en LinkedIn y otras redes sociales para enviar comandos", dice el investigador.

Mientras tanto, el troyano Twitoor ha estado descargando varias versiones de malware móvil bancario. Sin embargo, los operadores de la botnet pueden empezar a distribuir otro malware en cualquier momento, incluyendo ransomware, advierte.

"Twitoor es otro ejemplo de cómo los cibercriminales siguen innovando en sus negocios", continúa. "¿La conclusión? Los usuarios de Internet deberían seguir protegiendo sus actividades con buenas soluciones de seguridad tanto en computadoras como dispositivos móviles".

Hashes

E5212D4416486AF42E7ED1F58A526AEF77BE89BE
A9891222232145581FE8D0D483EDB4B18836BCFC
AFF9F39A6CA5D68C599B30012D79DA29E2672C6E

Este artículo fue modificado el 25/08/2016 para añadir la detección de ESET y los hashes analizados.