Descubrimos la primera botnet para Android controlada a través de Twitter
Android/Twitoor es un backdoor capaz de descargar más malware en un dispositivo infectado, que está activo desde hace aproximadamente un mes. Esta app maliciosa no puede ser hallada en ninguna tienda oficial de Android; probablemente se propaga por SMS o URLs maliciosas. Lo que sabemos es que se hace pasar por aplicaciones MMS o para reproducir contenido pornográfico.
Después de ejecutarse, oculta su presencia en el sistema y verifica la cuenta de Twitter definida a intervalos regulares. En base a los comandos recibidos, puede descargar apps maliciosas o cambiar la cuenta de Twitter de C&C por otra.
El uso de Twitter en vez de servidores de C&C es bastante innovador para una botnet en Android”, dice Lukáš Štefanko, el investigador de malware de ESET que descubrió la aplicación maliciosa.
El malware que domina los dispositivos para formar botnets debe ser capaz de recibir instrucciones actualizadas. Esa comunicación es el talón de Aquiles para cualquier botnet, ya que puede levantar sospechas, pero eliminar los bots es siempre letal para el funcionamiento de la red zombi.
Adicionalmente, si los servidores de Comando y Control fuesen interrumpidos por las autoridades, les servirían para llegar a información sobre la propia botnet.
Para hacer la comunicación de la botnet Twitoor más resiliente, los creadores tomaron varias medidas como cifrar sus mensajes, usando topologías complejas de la red de C&C, o usar medios innovadores como las redes sociales.
“Estos canales de comunicación son difíciles de descubrir e incluso más difíciles de bloquear por completo. Por otro lado, es extremadamente fácil para los criminales redireccionar las comunicaciones a otra cuenta recién creada”, explica Štefanko.
Twitter, fundada en 2006, fue primero usada para controlar botnets en Windows en 2009. También se han encontrado bots de Android controlados por otros medios no tradicionales, como blogs o alguno de los muchos sistemas de mensajería en la nube como el de Google o el de Baidu; pero Twitoor es el primer bot malicioso basado en Twitter, según Štefanko.
“En el futuro, podemos esperar que los cibercriminales traten de usar los estados de Facebook o las publicaciones en LinkedIn y otras redes sociales para enviar comandos”, dice el investigador.
Mientras tanto, el troyano Twitoor ha estado descargando varias versiones de malware móvil bancario. Sin embargo, los operadores de la botnet pueden empezar a distribuir otro malware en cualquier momento, incluyendo ransomware, advierte....LEER NOTICIA COMPLETA.