Twitoor, il virus usa Twitter per infettare Android: ecco come funziona

Twitoor è il primo malware che utilizza Twitter per infettare Android.

Il virus, il cui nome completo è Android/Twitoor, è stato individuato dai ricercatori di Eset. Il programma si diffonde via SMS o URL malevoli. Provoca la comparsa di app con contenuti a luci rosse o di client sms/mms e punta a insidiare il mobile banking. Si tratta della prima botnet per Android che utilizza il famoso social network invece che un tradizionale server di comando e controllo (C&C) per compromettere i dispositivi e sfruttarne le vulnerabilità.

Dopo il lancio, Twitoor nasconde la sua presenza sul sistema e controlla l’account Twitter ad intervalli regolari scaricando, a seconda dei comandi ricevuti in remoto, app infette o modificando le impostazioni C&C dell’account di Twitter. Per rendere la comunicazione della botnet Twitoor più resistente , i cyber criminali hanno adottato varie misure come la crittografia dei messaggi o l’utilizzo di modelli complessi della rete C & C, sfruttando mezzi innovativi per la comunicazione, tra i quali l’ uso dei social network.I canali di comunicazione basati sulle reti social sono difficili da scoprire e impossibili da bloccare completamente, essendo estremamente facile per i truffatori reindirizzare le comunicazioni su un altro account. Questo potrebbe portare in futuro, secondo gli esperti di ESET, all’utilizzo di altri canali social, da Facebook a LinkedIn, per lo stesso scopo malevolo.

Android/Twitoor è attivo da luglio 2016 e non si trova su alcun app store ufficiale per Android, diffondendosi via SMS o URL malevoli. Solitamente il programma si palesa sotto forma di app con contenuti a luci rosse o di client SMS/MMS, veicolando attualmente diverse versioni di malware che insidiano il mobile banking. Secondo gli esperti di ESET, gli operatori della botnet potrebbero iniziare a distribuire in qualsiasi momento anche altri tipi di malware, compresi i ransomware.