Twitoor, un malware Android qui prend ses ordres sur Twitter
Demain, des statuts Facebook, de faux comptes LinkedIn...
Le 29 août 2016 à 07h00
3 min
Société numérique
Société
Un malware Android sévit depuis environ un mois. Sa particularité, se servir des messages privés de Twitter pour recevoir ses instructions. Nommé Twitoor, il ambitionne de créer un botnet fait de terminaux mobiles.
Découvert par ESET, éditeur de NOD32, Twitoor est décrit comme « relativement innovant ». Il serait a priori le premier malware à se servir d’un réseau social pour fonctionner, et non pas simplement pour s’y diffuser. Twitoor utilise d’ailleurs plutôt des vecteurs classiques pour s’expédier chez les utilisateurs, via SMS ou de simples liens malveillants, en se faisant passer pour un lecteur de contenus pornographiques ou pour une petite application.
Un compte Twitter plutôt qu'un serveur C&C
Sa particularité, une fois qu’il a été téléchargé et activé, est de se cacher dans un recoin d’Android en vérifiant un compte Twitter bien précis. Twitoor est en effet un malware contrôlé à distance, un élément clé dans la volonté du pirate, ou du groupe de pirates, de mettre en place un botnet, un réseau d’appareils « zombies » réalisant des actions pour le seul compte des auteurs.
Le botnet est en général piloté par un serveur C&C (command-and-control) qui sert de relai pour les instructions. Selon ESET, ce serveur est d’ailleurs souvent un maillon faible de la chaine du botnet, car sa saisie par les forces de l’ordre ou tout autre problème peut conduire à la chute du réseau entier. Pour contourner le problème, Twitoor troque donc ce type de serveur pour un compte Twitter bien particulier, qui lui transmet ses commandes par le biais des messages privés (DM). Même si le compte se retrouve bloqué, il est facile pour les auteurs d’en créer un autre.
Le premier du genre... sur Android
Dans l’absolu, un tel mécanisme n’est pas nouveau. ESET rappelle ainsi que Twitter a déjà été utilisé pour transmettre des instructions, mais sous Windows uniquement, en 2009. De même, des bots Android ont déjà été contrôlés par des moyens détournés comme des plateformes de blog ou Gchat de Google. Twitoor est simplement le premier à se servir de Twitter sur Android. ESET indique que rien n’empêche d’imaginer dans l’avenir des malwares se servir de statuts Facebook ou de faux profils LinkedIn.
Quant aux activités du malware proprement dites, elles se concentrent pour l’instant sur la récupération d’un autre malware, dans la plupart des cas spécialisé dans le vol des informations bancaires. Mais Lukáš Štefanko, qui a découvert Twitoor, indique que rien n’empêche à l’avenir une installation d’une autre catégorie, dont un ransomware. Comme toujours, la meilleure protection restera la vigilance sur ce que l’on installe ou les liens que l’on ouvre. Si bien entendu aucune faille ne vient jouer les trouble-fêtes en permettant des actes malveillants sans même que l’utilisateur puisse s’en apercevoir, comme ce fut le cas pour Stagefright.
Twitoor, un malware Android qui prend ses ordres sur Twitter
-
Un compte Twitter plutôt qu'un serveur C&C
-
Le premier du genre... sur Android
Commentaires (17)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 29/08/2016 à 07h36
“Découvert par ESET, éditeur de NOD32….” “Le botnet est en général piloté par un serveur C&C…”
" />
" />
Command and Conquer Remastered confirmed
Que d’associations d’idées dans ma petite tête
Sinon, il faut avoir soi-même un compte twitter ou le malware se démerde-t-il tout seul ?
Le 29/08/2016 à 07h39
Mon vieux tel sous CM Android 4.4.2 doit être un botnet en puissance :o . vu tous les articles récents sur les failles Android autant dire Que hormis le plus récent des tels et sous la dernière maj est “safe” soit… Pas beaucoup…
Android le futur windows XP ?
Le 29/08/2016 à 07h42
Tu peux être en 4.4.2 ou sous la 7.0 si tu t’amuses à cliquer sur les liens des SMS chelou que tu reçois ou installer des APK trouvé sur un random site, ça ne changera pas grand chose.
Le 29/08/2016 à 07h44
Le 29/08/2016 à 07h45
Le probleme des maj de secu dans la duree est un vrai probleme en effet. On en parlait dans les precedentes news sur android 7. Je suis etonne qu’il n’y ait pas plus de pression de la part des assos de consommateurs et que google n’y reflechisse pas serieusement. Sur le plan technique, avec un noyau Linux modulaire et un systeme maitrise par google, des solutions sont parfaitement envisageables.
Le 29/08/2016 à 07h51
Le 29/08/2016 à 08h30
Le 29/08/2016 à 08h33
Oui enfin Google fait les mises à jours, les constructeurs ne répercutent pas : ils préfèrent vendre de nouveau terminaux en réalités.
Il faudrait au moins forcer les constructeurs à pousser les dernières maj sécu et os (version vendue avec le tel au moins).
Le 29/08/2016 à 08h55
En effet, ce devrait etre une obligation legale. J’en suis bien conscient mais ca supposerait que le gouvernement ou l’UE fassent quelque chose en faveur du consommateur, ce qui n’est quasiment jamais a l’ordre du jour.
Je suis aussi conscient que google le fait mais l’experience montre que le technique est toujours en avance sur le juridique et que donc google pourrait envisager des maj des modules et de differents morceaux du systeme par le playstore par exemple.
Le 29/08/2016 à 09h10
Certains composants sont poussés par le Play Store déjà (au moins web-view par exemple).
" />
Pour ce qui est de l’UE, il faudrait que les députés se bougent un peu… et il y a un coup à jouer, je pens, avec les tentatives “écologiques” (moins polluer, accords pour être plus responsables etc.)
Si on considère qu’un téléphone non maintenu est dangeureux d’utilisation (failles) il faut le jeter et en acheter un autre : problème de pollution/recyclage.
-Du coup on pourrait demander aux constructeurs (et opérateurs) de pousser les maj pour une durée X, et/ou de mettre en place un système de reprise/recyclage/échange à bas cout
-Après la période X,distribuer le code, pour que l’utilisateur, une communauté ou même une entreprise privée puisse maintenir le téléphone.
Le 29/08/2016 à 09h30
Le 29/08/2016 à 10h27
2 problemes:
C’est pourquoi il serait infiniment plus judicieux d’eviter au maximum les mouvements materiel et de forcer les constructeurs a fournir les maj de securite pendant une certaine periode, par exemple 5 ou 7 ans.
En ce qui concerne la redistribution du code, le projet est interessant mais cela necessite de revoir tout le principe de la propriete intellectuelle, gros debat et conflits en vue.
Le 29/08/2016 à 12h56
Le 29/08/2016 à 13h23
http://www.lesechos.fr/tech-medias/hightech/0211236761978-les-smartphones-android-sont-plus-fiables-que-les-iphone-2023385.php
( ° ʖ °)
Le 29/08/2016 à 13h52
Ca me rappelle un virus que j’ai vu. Enfin, un “téléchargeur”….
" />
" />
Il allait lire une page de Pastebin.com bien spécifique, et la décodait (base64) pour charger le malware transmit via ce biais.
Ou encore celui qui communiquait et prennait ses ordres via le protocole d’ICQ
L’utilisation d’un réseau social n’est pas vraiment une nouvelle, plutôt une continuité
C’est juste une autre manière de recevoir des ordres. Mais je me demande : pour recevoir des PM twitter, le bot doit se connecter a un compte Twitter non?
Il y a donc le compte du bot (pour recevoir) et le compte du maitre (C&C) pour envoyer les ordres, non?
Dans le malware il doit donc y avoir les identifiants twitter du compte du bot?
Il me tarde de tomber sur une bouse pareille. A zut c’est sur Android
Le 29/08/2016 à 07h09
J’ai du mal à faire le lien entre messages privés sur Twitter et actions sur un appareil Android. Concrètement cela fonctionne comment?
Le 29/08/2016 à 07h24
Ben si j’ai bien compris, le malware va requêter de façon régulière les message privés d’un compte Twitter qui doit par exemple transmettre des lignes de code à exécuter…
Ou alors encore plus évolué, pour chaque mot clé dans le message privé, est associé des lignes de codes à exécuter dans le malware.