Android-Trojaner Twitoor wird über Twitter gesteuert

Forscher von Eset weisen auf ein Android-Botnetz hin, das nicht von einem Kommandoserver, sondern über Twitter gesteuert wird. Diese von PC-Schädlingen seit mindestens 2009 bekannte Verfahren wird damit nach ihrer Einschätzung erstmals für einen Android-Trojaner verwendet.

Aufgrund des für die Koordination verwendeten Kommunikationskanals haben die Forscher den Trojaner Twitoor getauft. Ist er einmal installiert, fragt er regelmäßig ein spezielles Twitter-Konto ab, um eventuelle Befehle zu empfangen. Die Hintermänner können den Trojaner so beispielsweise anweisen, weitere bösartige Anwendungen zu installieren (in der Praxis bisher vor allem solche, die Bankdaten stehlen) oder auch, den Twitter-Kanal zu wechseln.

„Twitter statt Kommandoservern zu verwenden ist für ein Android-Botnetz ziemlich innovativ“, kommentiert Lukáš Štefanko von Eset. Er schätzt, dass die Twitoor-App seit rund einem Monat im Einsatz ist.

In Google Play wurde das Schadprogramm bisher nicht gesichtet. Die Verbreitung muss also über Textnachrichten oder bösartige Links erfolgen, wobei die Kriminellen die Software als Messaging- oder Porno-App ausgeben, um Anwender zu einer Installation zu motivieren.

Die Kommandoserver gelten als wunder Punkt von Botnetzen: Jeder Client muss sie kennen, und sind sie einmal entdeckt, lässt sich oft das ganze System abschalten. Fortgeschrittene Botnetze haben daher Wege entwickelt, die Serveradresse zu wechseln – oder gleich auf anderem Weg mit den Client-Schadprogrammen zu kommunizieren.

Im August 2009 wies Arbor Networks auf einen der ersten Banking-Trojaner hin, der seine Instruktionen via Twitter bezog. Die Kommunikation über wechselnde Twitter-Konten ist nicht nur an sich robuster, sie lässt sich auch verschlüsselt durchführen, um die Aktivitäten zu verbergen – nicht zuletzt vor Twitter, das eigene Erkennungsalgorithmen für einen solchen Missbrauch seines Diensts entwickelt hat.

„Diese Kommunikationskanäle sind schwer zu entdecken und lassen sich noch schwerer komplett abschalten“, sagt Štefanko. „Zugleich ist es für Kriminelle extrem einfach, auf ein anderes, frisch erstelltes Konto zu wechseln.“

„Twitoor ist ein weiteres Beispiel, wie Cyberkriminelle ihr Geschäft durch Innovation vorantreiben“, fügt der Eset-Forscher hinzu. Für die Zukunft befürchte er etwa eine Methode, um diese Technik für die Verteilung von Ransomware einzusetzen.

[mit Material von Danny Palmer, ZDNet.com]

Tipp: Wie gut kennen Sie Twitter? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.