Pesquisadores da empresa de segurança ESET identificaram uma botnet inédita que não recebe instruções de um servidor para funcionar, mas através do Twitter.
Os dispositivos móveis infectados pelo Cavalo de Troia batizado de Twitoor acessavam contas criadas na rede social para receber comandos criptografados enviados por seus operadores.
Para Lukas Stefanko, pesquisador do ESET responsável pela descoberta, “Twitoor serve como mais um exemplo de como os cibercriminosos estão mantendo a inovação em suas operações”. De acordo com o levantamento, a botnet já está em funcionamento a cerca de um mês e não foi possível descobrir como se dá o vetor de contaminação, embora os especialistas acreditem que seja através de links maliciosos e falsos aplicativos.
Uma vez contaminado, o dispositivo Android checa regularmente determinadas contas do Twitter criadas pelos hackers, em busca de instruções para baixar novos módulos ou executar tarefas e até mesmo passa a seguir outra conta. Desta forma, seus criadores ganham mais agilidade para responder no caso de reações de autoridades que normalmente desativam servidores tradicionais de comando e controle, além de camuflarem suas atividades através da rede social.
No momento, a Twitoor está sendo utilizada para instalar diferentes tipos trojans bancários para fraudar os usuários dos dispositivos infectados, mas qualquer tipo de comando pode ser enviado para a botnet, incluindo um ataque DDoS coordenado ou a instalação de um ransomware.
E isso é apenas o começo: “no futuro, nós podemos esperar que os criminosos irão tentar fazer uso de mensagens de status do Facebook ou utilizar o LinkedIn e outras redes sociais”, alertou Stefanko.
