Первый Android-ботнет, применяющий Twitter в качестве командного сервера, выявлен специалистами компании ESET.
Этот функционал был обнаружен во вредоносном приложении Android/Twitoor, которое устанавливает на зараженное устройство дополнительные вредоносные программы. Программа замаскирована под видеопроигрыватель или сервис для обмена сообщениями, но в действительности не располагает таким функционалом.
После активации Android/Twitoor стремится скрыть следы своего присутствия на системе. Программа регулярно производит проверки определенного Twitter-аккаунта. Исходя из того, какая команда была получена от операторов, Android/Twitoor осуществляет загрузку дополнительных вредоносных программ или переключается на другую учетную запись Twitter.
Как утверждает эксперт из ESET Лукаш Штефанко, киберпреступники и раньше пользовались социальной сетью в качестве C&C-сервера, но впервые был выявлен факт применения Twitter для контроля за ботнетом, который состоит из Android-устройств. Благодаря схеме управления с помощью Twitter у хакеров нет необходимости в поддержке C&C-сервера. Помимо этого, усложняется фиксация коммуникаций между аккаунтами. Злоумышленники могут с легкостью поменять канал связи и переадресовать коммуникации на другую учетную запись.
Так как ни в одном из магазинов приложений найти Android/Twitoor не удалось, эксперты считают, что распространение программы осуществляется посредством вредоносных ссылок. После проникновения на устройство Android/Twitoor производит загрузку мобильных банковских троянских программ.