Twitoor, un malware Android qui prend ses ordres sur Twitter

Demain, des statuts Facebook, de faux comptes LinkedIn...
Mobilité 2 min
Twitoor, un malware Android qui prend ses ordres sur Twitter
Crédits : VladSt/iStock

Un malware Android sévit depuis environ un mois. Sa particularité, se servir des messages privés de Twitter pour recevoir ses instructions. Nommé Twitoor, il ambitionne de créer un botnet fait de terminaux mobiles.

Découvert par ESET, éditeur de NOD32, Twitoor est décrit comme « relativement innovant ». Il serait a priori le premier malware à se servir d’un réseau social pour fonctionner, et non pas simplement pour s’y diffuser. Twitoor utilise d’ailleurs plutôt des vecteurs classiques pour s’expédier chez les utilisateurs, via SMS ou de simples liens malveillants, en se faisant passer pour un lecteur de contenus pornographiques ou pour une petite application.

Un compte Twitter plutôt qu'un serveur C&C

Sa particularité, une fois qu’il a été téléchargé et activé, est de se cacher dans un recoin d’Android en vérifiant un compte Twitter bien précis. Twitoor est en effet un malware contrôlé à distance, un élément clé dans la volonté du pirate, ou du groupe de pirates, de mettre en place un botnet, un réseau d’appareils « zombies » réalisant des actions pour le seul compte des auteurs.

Le botnet est en général piloté par un serveur C&C (command-and-control) qui sert de relai pour les instructions. Selon ESET, ce serveur est d’ailleurs souvent un maillon faible de la chaine du botnet, car sa saisie par les forces de l’ordre ou tout autre problème peut conduire à la chute du réseau entier. Pour contourner le problème, Twitoor troque donc ce type de serveur pour un compte Twitter bien particulier, qui lui transmet ses commandes par le biais des messages privés (DM). Même si le compte se retrouve bloqué, il est facile pour les auteurs d’en créer un autre.

Le premier du genre... sur Android

Dans l’absolu, un tel mécanisme n’est pas nouveau. ESET rappelle ainsi que Twitter a déjà été utilisé pour transmettre des instructions, mais sous Windows uniquement, en 2009. De même, des bots Android ont déjà été contrôlés par des moyens détournés comme des plateformes de blog ou Gchat de Google. Twitoor est simplement le premier à se servir de Twitter sur Android. ESET indique que rien n’empêche d’imaginer dans l’avenir des malwares se servir de statuts Facebook ou de faux profils LinkedIn.

Quant aux activités du malware proprement dites, elles se concentrent pour l’instant sur la récupération d’un autre malware, dans la plupart des cas spécialisé dans le vol des informations bancaires. Mais Lukáš Štefanko, qui a découvert Twitoor, indique que rien n’empêche à l’avenir une installation d’une autre catégorie, dont un ransomware. Comme toujours, la meilleure protection restera la vigilance sur ce que l’on installe ou les liens que l’on ouvre. Si bien entendu aucune faille ne vient jouer les trouble-fêtes en permettant des actes malveillants sans même que l’utilisateur puisse s’en apercevoir, comme ce fut le cas pour Stagefright.

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !