Scoperto un nuovo trojan per Android con funzionalità di backdoor che utilizza gli account Twitter per diffondersi. Individuata dai ricercatori di Eset che l'hanno chiamata Android/Twitoor, si tratta della prima botnet per il sistema operativo di Google che utilizza il famoso social network invece che un tradizionale server di comando e controllo (C&C) per sfruttare i dispositivi compromessi con finalità fraudolente.
Dopo il lancio, Twitoor nasconde la sua presenza sul sistema e controlla l'account Twitter ad intervalli regolari scaricando, a seconda dei comandi ricevuti in remoto, app infette o modificando le impostazioni C&C dell’account di Twitter. Per rendere la comunicazione della botnet Twitoor più resistente, i cyber criminali hanno adottato varie misure come la crittografia dei messaggi o l’utilizzo di modelli complessi della rete C & C, sfruttando mezzi innovativi per la comunicazione, tra i quali l' uso dei social network.
I canali di comunicazione basati sulle reti social sono difficili da scoprire e impossibili da bloccare completamente, essendo estremamente facile per i truffatori reindirizzare le comunicazioni su un altro account. Questo potrebbe portare in futuro, secondo gli esperti di Eset, all’utilizzo di altri canali social, da Facebook a LinkedIn, per lo stesso scopo malevolo.
Android/Twitoor è attivo da luglio 2016 e non si trova su alcun app store ufficiale per Android, diffondendosi via sms o url malevoli. Solitamente il programma si palesa sotto forma di app con contenuti a luci rosse o di client sms/mms, veicolando attualmente diverse versioni di malware che insidiano il mobile banking. Secondo Eset, gli operatori della botnet potrebbero iniziare a distribuire in qualsiasi momento anche altri tipi di malware, compresi i ransomware.
