Android-Trojaner Twitoor wird über Twitter gesteuert

Diesen Kommunikationsweg nutzen PC-Trojaner seit mindestens 2009. Unter Android könnte dürfte es sich um ein Novum handeln. Der Entdecker sagt: "Diese Kommunikationskanäle sind schwer zu entdecken und lassen sich noch schwerer komplett abschalten."

Forscher von Eset weisen auf ein Android-Botnetz hin, das nicht von einem Kommandoserver, sondern über Twitter gesteuert wird. Diese von PC-Schädlingen seit mindestens 2009 bekannte Verfahren wird damit nach ihrer Einschätzung erstmals für einen Android-Trojaner verwendet.

Android-Malware (Bild: Fraunhofer SIT)Aufgrund des für die Koordination verwendeten Kommunikationskanals haben die Forscher den Trojaner Twitoor getauft. Ist er einmal installiert, fragt er regelmäßig ein spezielles Twitter-Konto ab, um eventuelle Befehle zu empfangen. Die Hintermänner können den Trojaner so beispielsweise anweisen, weitere bösartige Anwendungen zu installieren (in der Praxis bisher vor allem solche, die Bankdaten stehlen) oder auch, den Twitter-Kanal zu wechseln.

„Twitter statt Kommandoservern zu verwenden ist für ein Android-Botnetz ziemlich innovativ“, kommentiert Lukáš Štefanko von Eset. Er schätzt, dass die Twitoor-App seit rund einem Monat im Einsatz ist.

In Google Play wurde das Schadprogramm bisher nicht gesichtet. Die Verbreitung muss also über Textnachrichten oder bösartige Links erfolgen, wobei die Kriminellen die Software als Messaging- oder Porno-App ausgeben, um Anwender zu einer Installation zu motivieren.

Die Kommandoserver gelten als wunder Punkt von Botnetzen: Jeder Client muss sie kennen, und sind sie einmal entdeckt, lässt sich oft das ganze System abschalten. Fortgeschrittene Botnetze haben daher Wege entwickelt, die Serveradresse zu wechseln – oder gleich auf anderem Weg mit den Client-Schadprogrammen zu kommunizieren.

HIGHLIGHT

Open Telekom Cloud: Ressourcen auf Abruf

Von Capex zu Opex: Mit IT-Kapazitäten aus der Cloud statt von eigenen Servern verwandeln Unternehmen gerade verstärkt starre Investitionskosten in dynamische Ausgaben, die sich dem Geschäftsverlauf anpassen – und werden damit flexibler. Immer beliebter: Infrastructure-as-a-Service (IaaS) aus der Open Telekom Cloud.

Im August 2009 wies Arbor Networks auf einen der ersten Banking-Trojaner hin, der seine Instruktionen via Twitter bezog. Die Kommunikation über wechselnde Twitter-Konten ist nicht nur an sich robuster, sie lässt sich auch verschlüsselt durchführen, um die Aktivitäten zu verbergen – nicht zuletzt vor Twitter, das eigene Erkennungsalgorithmen für einen solchen Missbrauch seines Diensts entwickelt hat.

„Diese Kommunikationskanäle sind schwer zu entdecken und lassen sich noch schwerer komplett abschalten“, sagt Štefanko. „Zugleich ist es für Kriminelle extrem einfach, auf ein anderes, frisch erstelltes Konto zu wechseln.“

„Twitoor ist ein weiteres Beispiel, wie Cyberkriminelle ihr Geschäft durch Innovation vorantreiben“, fügt der Eset-Forscher hinzu. Für die Zukunft befürchte er etwa eine Methode, um diese Technik für die Verteilung von Ransomware einzusetzen.

[mit Material von Danny Palmer, ZDNet.com]

Tipp: Wie gut kennen Sie Twitter? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Android, Cybercrime, Eset, Malware

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Florian Kalenda
Autor: Florian Kalenda
Leitender Redakteur ZDNet.de
Florian Kalenda
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Android-Trojaner Twitoor wird über Twitter gesteuert

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *