Les chercheurs d’ESET ont découvert une porte dérobée sous Android qui contient un cheval de Troie et qui est contrôlée par des tweets. Détecté par l’éditeur tchèque comme étant Android/Twitoor, il s’agit de la première application malveillante utilisant Twitter au lieu d’une commande et d’un contrôle traditionnel de serveur (C&C).
Après son lancement, le cheval de Troie cache sa présence sur le système et vérifie le compte Twitter défini par intervalle régulier pour les commandes. Sur la base des commandes reçues, il peut soit télécharger des applications malveillantes, soit basculer le serveur C&C d’un compte Twitter à un autre.
«L’utilisation de Twitter pour contrôler un botnet est une étape innovante pour une plateforme Android», explique dans un communiqué Lukáš Štefanko, malware researcher chez ESET, qui a découvert ce malware.
Selon lui, les canaux de communication basés sur des réseaux sociaux sont difficiles à découvrir et impossible à bloquer entièrement, alors qu’il est extrêmement facile pour les escrocs de rediriger les communications vers un autre compte de façon simultanée.
Android/Twitoor est actif depuis juillet 2016. Il se propage probablement par SMS ou via des URL malveillantes. Il prend l’apparence d’une application mobile pour adulte ou d’une application MMS, dénuées de fonctionnalités. Plusieurs versions de services bancaires mobiles infectés par un malware ont été téléchargées. Selon Lukáš Štefanko, les opérateurs de botnet peuvent distribuer d’autres logiciels malveillants à tout moment, y compris des ransomwares.