Ya sea en un ordenador como en un smartphone o tablet, una de las principales formas de controlar un malware de forma remota es mediante un servidor de comando y control, conocido como C&C, desde el cual los piratas informáticos mandan todo tipo de comandos con el fin de controlar el malware instalado en los equipos de sus víctimas mediante conexiones inversas (es el malware quien se conecta al servidor, y no al revés). Sin embargo, los piratas informáticos buscan cada vez nuevas técnicas con las que poder controlar sus piezas de malware de la mejor forma posible y sin levantar sospechas. Esto es posible gracias a las redes sociales, concretamente, a Twitter.
Los expertos de seguridad de ESET han descubierto una nueva botnet basada en una nueva backdoor para Android llamada Twitoor. Twitoor es una puerta trasera, o backdoor, que lleva activo poco más de un mes pero que no ha sido detectado hasta ahora. Este malware se utiliza principalmente para distribuir otras piezas de software malicioso más complejas mediante una serie de comandos que recibe a través de la red social Twitter. Sin embargo, este malware es utilizado para mucho más.
Todos los dispositivos infectados por Twitoor quedan a la espera de recibir órdenes escuchando de forma periódica una cuenta de la red social en concreto, utilizada por estos piratas. Cuando estos escribían en dicha cuenta un mensaje, el troyano era capaz de interpretarlo para llevar a cabo su tarea, siendo esta una forma muy sencilla de controlar completamente la botnet sin dejar ningún rastro ni de IP ni de ubicación. De esta manera, además de poder infectar los dispositivos con otro malware, las víctimas de Twitoor pasan a formar parte de unabotnet.
Aunque ESET no ha facilitado demasiados detalles sobre la botnet, se cree que los piratas informáticos la utilizaban para llevar a cabo ataques DDoS, mostrar anuncios personalizados a las víctimas, enviarles otro tipo de malware más complejo e incluso para llevar a cabo campañas de envío masivo de SMS.
Twitoor, la primera botnet para Android controlada a través de Twitter
Como hemos dicho, una de las principales características de este malware es que todos los dispositivos infectados pasan a formar parte de una botnet controlada por piratas informáticos. De esta manera, los piratas informáticos pueden controlar fácilmente, y además de una forma muy complicada de bloquear, todos los dispositivos infectados de manera que puedan, por ejemplo, enviarles una nueva variante de ransomware que cifren los archivos.
Este troyano se distribuía principalmente a través de falsas aplicaciones que se hacían pasar por reproductores de vídeos para adultos y visores de mensajes MMS, aunque se han detectado casos en los que la aplicación ha llegado a través de un SMS o como direcciones URL maliciosas. Obviamente ninguna de estas aplicaciones se encontraba dentro de la Play Store, por lo que los usuarios afectados han instalado las aplicaciones, junto al malware, manualmente.
Tal como aseguran los responsables de ESET, esta es una muestra más de cómo los piratas informáticos están innovando constantemente y, al final, la culpa de todo es de los desarrolladores de software, quienes no implementan buenos sistemas de seguridad en sus productos que permiten, al final, la instalación y ejecución de malware.
Fuente:https://www.redeszone.net/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad