Twitoor, un malware Android qui prend ses ordres sur Twitter

Twitoor, un malware Android qui prend ses ordres sur Twitter

Demain, des statuts Facebook, de faux comptes LinkedIn...

Avatar de l'auteur
Vincent Hermann

Publié dans

Société numérique

29/08/2016 3 minutes
17

Twitoor, un malware Android qui prend ses ordres sur Twitter

Un malware Android sévit depuis environ un mois. Sa particularité, se servir des messages privés de Twitter pour recevoir ses instructions. Nommé Twitoor, il ambitionne de créer un botnet fait de terminaux mobiles.

Découvert par ESET, éditeur de NOD32, Twitoor est décrit comme « relativement innovant ». Il serait a priori le premier malware à se servir d’un réseau social pour fonctionner, et non pas simplement pour s’y diffuser. Twitoor utilise d’ailleurs plutôt des vecteurs classiques pour s’expédier chez les utilisateurs, via SMS ou de simples liens malveillants, en se faisant passer pour un lecteur de contenus pornographiques ou pour une petite application.

Un compte Twitter plutôt qu'un serveur C&C

Sa particularité, une fois qu’il a été téléchargé et activé, est de se cacher dans un recoin d’Android en vérifiant un compte Twitter bien précis. Twitoor est en effet un malware contrôlé à distance, un élément clé dans la volonté du pirate, ou du groupe de pirates, de mettre en place un botnet, un réseau d’appareils « zombies » réalisant des actions pour le seul compte des auteurs.

Le botnet est en général piloté par un serveur C&C (command-and-control) qui sert de relai pour les instructions. Selon ESET, ce serveur est d’ailleurs souvent un maillon faible de la chaine du botnet, car sa saisie par les forces de l’ordre ou tout autre problème peut conduire à la chute du réseau entier. Pour contourner le problème, Twitoor troque donc ce type de serveur pour un compte Twitter bien particulier, qui lui transmet ses commandes par le biais des messages privés (DM). Même si le compte se retrouve bloqué, il est facile pour les auteurs d’en créer un autre.

Le premier du genre... sur Android

Dans l’absolu, un tel mécanisme n’est pas nouveau. ESET rappelle ainsi que Twitter a déjà été utilisé pour transmettre des instructions, mais sous Windows uniquement, en 2009. De même, des bots Android ont déjà été contrôlés par des moyens détournés comme des plateformes de blog ou Gchat de Google. Twitoor est simplement le premier à se servir de Twitter sur Android. ESET indique que rien n’empêche d’imaginer dans l’avenir des malwares se servir de statuts Facebook ou de faux profils LinkedIn.

Quant aux activités du malware proprement dites, elles se concentrent pour l’instant sur la récupération d’un autre malware, dans la plupart des cas spécialisé dans le vol des informations bancaires. Mais Lukáš Štefanko, qui a découvert Twitoor, indique que rien n’empêche à l’avenir une installation d’une autre catégorie, dont un ransomware. Comme toujours, la meilleure protection restera la vigilance sur ce que l’on installe ou les liens que l’on ouvre. Si bien entendu aucune faille ne vient jouer les trouble-fêtes en permettant des actes malveillants sans même que l’utilisateur puisse s’en apercevoir, comme ce fut le cas pour Stagefright.

17

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Un compte Twitter plutôt qu'un serveur C&C

Le premier du genre... sur Android

Commentaires (17)


J’ai du mal à faire le lien entre messages privés sur Twitter et actions sur un appareil Android. Concrètement cela fonctionne comment?


Ben si j’ai bien compris, le malware va requêter de façon régulière les message privés d’un compte Twitter qui doit par exemple transmettre des lignes de code à exécuter…



Ou alors encore plus évolué, pour chaque mot clé dans le message privé, est associé des lignes de codes à exécuter dans le malware. 


“Découvert par ESET, éditeur de NOD32….” “Le botnet est en général piloté par un serveur C&C…”

Command and Conquer Remastered confirmed <img data-src=" />





Que d’associations d’idées dans ma petite tête <img data-src=" />



Sinon, il faut avoir soi-même un compte twitter ou le malware se démerde-t-il tout seul ?


Mon vieux tel sous CM Android 4.4.2 doit être un botnet en puissance :o . vu tous les articles récents sur les failles Android autant dire Que hormis le plus récent des tels et sous la dernière maj est “safe” soit… Pas beaucoup…

Android le futur windows XP ?


Tu peux être en 4.4.2 ou sous la 7.0 si tu t’amuses à cliquer sur les liens des SMS chelou que tu reçois ou installer des APK trouvé sur un random site, ça ne changera pas grand chose.








WereWindle a écrit :



“Découvert par ESET, éditeur de NOD32….” “Le botnet est en général piloté par un serveur C&C…”

Command and Conquer Remastered confirmed <img data-src=" />







<img data-src=" />



Le probleme des maj de secu dans la duree est un vrai probleme en effet. On en parlait dans les precedentes news sur android 7. Je suis etonne qu’il n’y ait pas plus de pression de la part des assos de consommateurs et que google n’y reflechisse pas serieusement. Sur le plan technique, avec un noyau Linux modulaire et un systeme maitrise par google, des solutions sont parfaitement envisageables.








Carpette a écrit :



Sur le plan technique, avec un noyau Linux modulaire et un systeme maitrise par google, des solutions sont parfaitement envisageables.





très probablement mais ça serait remettre en cause toute la philosophie/stratégie de distribution d’Android avec, peut-être, des conséquences technique ou juridiques - brevet ou autre - dont nous, simples commentateurs, n’aurions pas conscience…

(je suppose que le mode de fonctionnement actuel n’a pas été choisi au pif)



Oui enfin Google fait les mises à jours, les constructeurs ne répercutent pas : ils préfèrent vendre de nouveau terminaux en réalités.



Il faudrait au moins forcer les constructeurs à pousser les dernières maj sécu et os (version vendue avec le tel au moins).


En effet, ce devrait etre une obligation legale. J’en suis bien conscient mais ca supposerait que le gouvernement ou l’UE fassent quelque chose en faveur du consommateur, ce qui n’est quasiment jamais a l’ordre du jour.



&nbsp;Je suis aussi conscient que google le fait mais l’experience montre que le technique est toujours en avance sur le juridique et que donc google pourrait envisager des maj des modules et de differents morceaux du systeme par le playstore par exemple.


Certains composants sont poussés par le Play Store déjà (au moins web-view par exemple).



Pour ce qui est de l’UE, il faudrait que les députés se bougent un peu… et il y a un coup à jouer, je pens, avec les tentatives “écologiques” (moins polluer, accords pour être plus responsables etc.)

Si on considère qu’un téléphone non maintenu est dangeureux d’utilisation (failles) il faut le jeter et en acheter un autre : problème de pollution/recyclage.



-Du coup on pourrait demander aux constructeurs (et opérateurs) de pousser les maj pour une durée X, et/ou de mettre en place un système de reprise/recyclage/échange à bas cout <img data-src=" />

-Après la période X,distribuer le code, pour que l’utilisateur, une communauté ou même une entreprise privée puisse maintenir le téléphone.








CryoGen a écrit :



Certains composants sont poussés par le Play Store déjà (au moins web-view par exemple).



Pour ce qui est de l’UE, il faudrait que les députés se bougent un peu… et il y a un coup à jouer, je pens, avec les tentatives “écologiques” (moins polluer, accords pour être plus responsables etc.)

Si on considère qu’un téléphone non maintenu est dangeureux d’utilisation (failles) il faut le jeter et en acheter un autre : problème de pollution/recyclage.





Mieux : on jette le telephone plein de failles et on ne rachète rien.

Plus aucun problème, 100% ecolo.

Vive la decroissance <img data-src=" />



2 problemes:




  • le recyclage coute de l’energie (va donc recycler du plastique et du lithium)

  • les techno de recyclage ne sont pas forcement au point (en ce qui concerne les batteries lithium-*, le recyclage existe plus ou moins mais n’est pas vraiment interessant economiquement)



    C’est pourquoi il serait infiniment plus judicieux d’eviter au maximum les mouvements materiel et de forcer les constructeurs a fournir les maj de securite pendant une certaine periode, par exemple 5 ou 7 ans.



    En ce qui concerne la redistribution du code, le projet est interessant mais cela necessite de revoir tout le principe de la propriete intellectuelle, gros debat et conflits en vue.








Carpette a écrit :



Le probleme des maj de secu dans la duree est un vrai probleme en effet. On en parlait dans les precedentes news sur android 7. Je suis etonne qu’il n’y ait pas plus de pression de la part des assos de consommateurs et que google n’y reflechisse pas serieusement. Sur le plan technique, avec un noyau Linux modulaire et un systeme maitrise par google, des solutions sont parfaitement envisageables.&nbsp;





Autant comme déja dis dans les commentaires, certains composants sont mis à jour par le playstore, autant je vois pas comment associer AOSP et ce genre de MAJ. Sans compter que les failles ne se trouve pas toujours sur AOSP mais sur certaines surcouches, ou même alors en fonction des composant hardware. Pire certain distributeurs propose des versions d’Android dont je doute même de la bienveilllance, ex : Wiko qui installe par défaut un clavier bourré de pub pas très transparent de ce que fait l’application des données récupéré du clavier. :/



Ca me rappelle un virus que j’ai vu. Enfin, un “téléchargeur”….

&nbsp;

Il allait lire une page de Pastebin.com bien spécifique, et la décodait (base64) pour charger le malware transmit via ce biais.



Ou encore celui qui communiquait et prennait ses ordres via le protocole d’ICQ <img data-src=" />

L’utilisation d’un réseau social n’est pas vraiment une nouvelle, plutôt une continuité <img data-src=" />



C’est juste une autre manière de recevoir des ordres. Mais je me demande : pour recevoir des PM twitter, le bot doit se connecter a un compte Twitter non?



Il y a donc le compte du bot (pour recevoir) et le compte du maitre (C&C) pour envoyer les ordres, non?

Dans le malware il doit donc y avoir les identifiants twitter du compte du bot?



Il me tarde de tomber sur une bouse pareille. A zut c’est sur Android

&nbsp;