告诉大家一个“好消息”,现在不仅Twitter用户可以通过检查微博信息服务来获取新的消息,安卓恶意软件也开始采用这样的机制来获取恶意指令了。
根据ESET安全公司的最新报告,一位安卓恶意软件的开发者正在使用Twitter来向受感染的智能手机发送恶意指令。该公司的安全研究人员在对一款名叫“ Twitoor”的恶意软件中发现了这一功能。这款恶意软件可以在受感染的目标手机中悄悄安装其他的恶意软件,毫无疑问,这绝对是一个安卓端的木马后门。
传统的恶意软件控制方式
通常情况下,安卓恶意软件的开发者会利用远程控制服务器来控制受感染的智能手机。攻击者首先会使用这些服务器来向受感染的手机发送控制命令,然后利用这些手机来组成一个僵尸网络。简而言之,在传统的攻击场景中,攻击者主要使用的是远程服务器来控制目标手机中的恶意软件,并向恶意软件发出控制命令,以此来控制受感染的手机。
攻击者能用Twitter来做什么?
然而,Twitoor的开发者并没有打算使用C&C服务器来与受感染的手机通信。令人惊讶的是,Twitoor 可以使用Twitter社交网络来控制目标用户的安卓智能手机。这款恶意软件会定时对指定的Twitter账号进行检查,然后从该Twitter 账号所发布的加密推文中读取出控制命令。
Lukas Stefanko是ESET公司的一名安全研究人员,他发表的一篇博文中提到:这是一种非常新颖的攻击方式,攻击者无需再去维护一台命令控制服务器(C&C ),他们可以直接使用Twitter账号来向恶意软件发送指令,而且采用这样的控制方式也能够大大降低恶意软件被检测到的几率。
首个基于Twitter的安卓僵尸网络
ESET公司指出,该僵尸网络是目前首个利用Twitter来发送控制命令的Android僵尸网络。众所周知, Twitter网站与2006年正式进入人们的视野之中,而最早出现的由Twitter控制的 Windows僵尸网络则出现在2009年。
在此之前,曾经也出现过很多通过非传统手段来控制Android肉鸡的恶意软件,这些恶意软件可以通过博客、Google云端系统、以及百度云端系统来传播恶意控制命令。但是在 Stefanko看来,只有Twitoor是第一个基于Twitter社交网络来传播控制命令的恶意软件。
ESET的安全研究人员表示,目前在各大安卓应用市场中还没有检测到Twitoor的踪迹,所以攻击者很有可能是通过恶意链接的方式来传播这款恶意软件。
扒一扒Twitoor
实际上,Twitoor是一个木马后门,它可以在受感染的智能设备中下载其他的恶意软件,而且这一木马后门已经活跃了一个月之久了。这款恶意应用是病毒Twitoor.A的变种,考虑到目前安全研究人员还没有在任何一个安卓官方应用市场上检测到 Twitoor的身影,所以专家推测攻击者很有可能是通过恶意短信或者恶意URL链接的方式来感染用户的手机。它可以伪装成色情视频播放软件或者彩信客户端,并以此来引诱用户上当。当然了,Twitoor 肯定不具备上述两者的功能。
Twitoor启动之后,便会立刻进入“隐身”状态,然后定时检测特定的Twitter账号,并从账号中获取控制命令。当Twitoor 收到了攻击者所发送的指令之后,它会根据指令的不同要求来完成不同的任务。例如,它可以下载其他的恶意软件,以及更换用于接收命令的Twitter账号等等。
警钟
Stefanko表示:
“Twitoor的出现也足以证明,现在的网络犯罪分子们正在不断改良他们的攻击技术。因为黑客们也知道,如果没有技术上的创新,即使是黑客也会被市场淘汰。至于应对方案的话,广大互联网用户可以在计算机或者智能设备中安装安全防护软件,这样可以从一定程度上保护自己的安全。”
ESET公司的安全研究人员表示,在基于Twitter的僵尸网络出现之后,未来我们将有可能看到更多的黑客会利用Facebook 、LinkedIn以及其他社交网络平台来大做文章。所以请各位安全专家们做好心理准备,因为不久之后将会出现更多复杂的僵尸网络。
