Twitter sous Android est infecté par un Cheval de Troie

Les chercheurs ESET viennent de découvrir une porte dérobée sous Android contenant un Cheval de Troie contrôlée par des tweets. Cette application malveillante utilise Twitter au lieu d'une commande et d'un contrôle traditionnel de serveur (C&C).

Une fois lancé, le Cheval de Troie dissimule sa présence sur le système et vérifie le compte Twitter défini par intervalle régulier pour les commandes. Ensuite, il a plusieurs possibilités selon les commandes reçues, soit il télécharge des applications malveillantes, soit il bascule  le serveur C&C d'un compte Twitter à un autre.

Le premier botnet sous Android qui contrôle Twitter

Selon Lukáš  Štefanko, malware researcher chez ESET, l'utilisation de Twitter pour contrôler un botnet est nouveau pour une plateforme Android car les canaux de communication basés sur des réseaux sociaux ne sont pas faciles à découvrir et sont quasiment impossible de les bloquer totalement. Par contre, il est facile de rediriger les communications vers un autre compte de façon simultanée. Concernant l'espace Android pour contrôler les botnets, ce moyen de dissimulation n'est pas encore exploité par les cybercriminels. Il se peut qu'à l'avenir, ces escrocs essayent de faire usage des statuts de Facebook ou de déployer leurs attaques sur LinkedIn et les autres réseaux sociaux.

Le malware Android/Twitoor agit depuis juillet 2016. Les premiers constats montrent qu'il n'est pas apparu sur l'un des app store officiels d'Android mais il se propage plutôt par SMS ou via des URL malveillantes et  prend ensuite l'apparence d'une application mobile pour adulte ou d'une application MMS  avec aucune fonctionnalité. Il faut savoir aussi que plusieurs versions de services bancaires mobiles infectés par un malware ont été téléchargées.