Android/Twitoor ist ein Backdoor, das die Fähigkeit besitz, andere Malware auf ein kompromittiertes Gerät zu laden. Die schädliche Software ist seit ungefähr einem Monat aktiv. Die dazugehörige App kann in keinem offiziellen Android-Appstore gefunden werden – möglicherweise wird sie per SMS oder Link verteilt. Sie ahmt eine Porn Player oder MMS App nach, ohne deren Funktionen zu erfüllen.
Nach dem Start, versteckt die Anwendung ihre Präsenz auf dem Gerät und überprüft von Zeit zu Zeit, ob von einem definierten Twitter Account auszuführende Befehle vorliegen. Durch das Erhalten verschiedener Kommandos, können weitere schädliche Apps heruntergeladen oder der C&C Twitter-Account geändert werden.
„Twitter als Ersatz eines C&C-Servers zu verwenden, ist eine ziemlich innovative Vorgehensweise für ein Android Botnet.“
„Twitter als Ersatz eines C&C-Servers zu verwenden, ist eine ziemlich innovative Vorgehensweise für ein Android Botnet.“ Meint Lukáš Štefanko, der ESET Malware Forscher, der die schädliche App entdeckt hat.
Malware, die Geräte zu Sklaven machen kann, um Botnets aufzubauen, ist in der Lage Update-Kommandos zu erhalten. Dieser Kommunikationskanal ist zugleich auch die Achillessehne für das Botnet. Einmal Aufmerksamkeit erregt, muss der Bot vom Netzwerk getrennt werden und das ist nicht im Sinne eines Botnets.
Sollte der C&C-Server außerdem von den Behörden beschlagnahmt werden, würde das zu einer Offenlegung des gesamten Botnets führen.
Um das Twitoor Botnet widerstandsfähiger zu gestalten, unternehmen die Betreiber verschiedene Schritte. Beispielsweise verschlüsseln sie ihre Kommunikation durch komplexe Topologien. Daneben benutzen sie auch soziale Netzwerke.
„Diese sozialen Kommunikationskanäle sind schwer aufzudecken und noch schwerer ist es, diese zu sperren. Andererseits können sie leicht von Behörden zurückverfolgt werden.“ Erklärt Štefanko.
Schon einmal wurde Twitter dazu genutzt, um ein Botnet zu kontrollieren. Damals im Jahr 2009 war allerdings Windows noch die Plattform der Wahl. Auch Android Botnets wurden schon auf unübliche Weise dirigiert, wie durch Blogs oder Cloud-Dienste. Aber Twittor stellt die erste Twitter-basierte Bot-Malware dar.
Der ESET Forscher merkt an: „In Zukunft erwarten wir, dass die Cyber-Kriminellen auch Facebook, LinkedIn oder andere soziale Plattformen als Command&Control-Ersatz verwenden werden.“
Derweil lädt der Twitoor Trojaner mehrere Varianten von Mobile Banking Malware auf kompromittierte Geräte. Davon abgesehen können die Botnet-Hintermänner auch andere Malware streuen - Das schließt auch Ransomware ein, warnt Štefanko.
“Twitoor zeigt einmal mehr wie Cyber-Kriminelle ihr Business innovieren. Wir lernen daraus, dass Internet User nicht aufhören dürfen, ihre Aktivitäten abzusichern und gute Sicherheitslösungen für PC und mobiles Endgerät parat zu haben."
Hashes:
E5212D4416486AF42E7ED1F58A526AEF77BE89BE
A9891222232145581FE8D0D483EDB4B18836BCFC
AFF9F39A6CA5D68C599B30012D79DA29E2672C6E