Itt az első olyan androidos kártevő, amit már nem klasszikus vezérlőszerverekkel (C&C – command and control) irányítanak. Maga a kártevő, amit a kutatók Android/Twitoor névre kereszteltek, egyelőre nem árasztotta el az androidos készülékeket, de a lehetőség igencsak aggasztó. Rámutat ugyanis arra, hogy módszer előbb-utóbb a Facebook és a LinkedIn oldalaival is használható lesz – írja a cég közleménye. Lényegében tehát Twitter- Facebook- vagy LinkedIn-fiókokból lehet botbnet hálózatot létrehozni.

Tweetekbe rejtett utasítások

Az Android/Twitoort, amely egyelőre csak arra alkalmas, hogy hátsó kaput, ún. backdoort nyisson az androidos eszközökön, egy hónapja fedezték fel. A kártevő magát pornólejátszónak vagy MMS alkalmazásnak álcázó appként terjed, de nem a hivatalos Android áruházakból, hanem valószínűleg SMS-ben vagy rosszindulatú URL-eken keresztül.

Indítás után elrejti jelenlétét a rendszerben, majd rendszeresen ellenőriz egy megadott Twitter fiókot, hogy érkezett-e új utasítás. A tweetekben érkező parancsok alapján kártevőket tölt le, vagy átvált egy másik irányítást szolgáló Twitter fiókra.

Na de mi itt a lényeg? A kártevők többsége ma már úgy működik, hogy folyamatosan új utasításokra van szüksége a működéshez. Csakhogy ez a kommunikáció a botnetek egyik gyenge pontja: az adatforgalom ugyanis könnyen lebuktathatja a kártevőt. Ha pedig kiiktatják a botokat, vége a botnetnek is. Ezeken keresztül ráadásul el lehet jutni a vezérlőszerverekhez, végső soron pedig fel lehet számolni a botnet hálózatot.

A Twitoor fejlesztőinek az a nagy felismerése: lényegében a Twitterrel történő kommunikációba rejtik az utasításokat, ami így sokkal kevésbé feltűnő, mintha ugyanehhez a C&C hálózatokat használnának. Az ESET kutatója, a kártevőt felfedező Lukáš Štefanko szerint ezeket a kommunikációs csatornákat nagyon nehéz észrevenni, és még nehezebb teljesen blokkolni. A támadók dolga pedig egyszerűbb, mert nagyon könnyű átirányítani a kommunikációt egy újabb, frissen regisztrált fiókra.

Csak Androidon újdonság

A módszer amúgy nem teljesen új. Már 2009-ben találtak olyan windowsos botnetet, amit Twitteren keresztül irányítottak. Az Arbor Networks kutatói találtak akkor egy olyan botnetet, amely szinte ugyanúgy működött, mint a most felfedezett androidos társa: tweeteken keresztül vezérelték.

A működési elv is hasonló volt, azaz a támadók hátsó kaput nyitottak a támadott rendszereken, hogy később különböző funkciójú károkozókat telepíthessenek. A fertőzött gépek (nem volt nagyon kiterjedt a támadás) mindegyike követett egy konkrét Twitter-fiók, az upd4t3 feedjét, ahonnan az utasítások érkeztek.

Már akkor felmerült az, hogy a működési modell nem korlátozódik a Twitterre. A kutatók ugyanis a Tumblr-en és egy azóta megszűnt finn mikroblog szolgáltatáson, a Jaikun is megtalálták az upd4t3 nevű profilt, ami a twittereshez hasonlóan működött.

Androidra azonban a Twitoor az első ilyen jellegű botnet annak ellenére, hogy az androidos kártevők fejlesztői meglehetősen innovatívak abban, hogy a botokat a hagyományostól eltérő módszerekkel lehessen irányítani.

A Twitoor eddigi működése során főleg mobilbankolással kapcsolatos kártevőket töltött le a fertőzött eszközökre, de a botnet segítségével lényegében bármi terjeszthető, például a manapság igencsak népeszű zsarolóvírusok is.