告訴大家一個(gè)“好消息”，現(xiàn)在不僅Twitter用戶可以通過(guò)檢查微博信息服務(wù)來(lái)獲取新的消息，安卓惡意軟件也開(kāi)始采用這樣的機(jī)制來(lái)獲取惡意指令了。

根據(jù)ESET安全公司的最新報(bào)告，一位安卓惡意軟件的開(kāi)發(fā)者正在使用Twitter來(lái)向受感染的智能手機(jī)發(fā)送惡意指令。該公司的安全研究人員在對(duì)一款名叫“ Twitoor”的惡意軟件中發(fā)現(xiàn)了這一功能。這款惡意軟件可以在受感染的目標(biāo)手機(jī)中悄悄安裝其他的惡意軟件，毫無(wú)疑問(wèn)，這絕對(duì)是一個(gè)安卓端的木馬后門。

[[170737]]

傳統(tǒng)的惡意軟件控制方式

通常情況下，安卓惡意軟件的開(kāi)發(fā)者會(huì)利用遠(yuǎn)程控制服務(wù)器來(lái)控制受感染的智能手機(jī)。攻擊者首先會(huì)使用這些服務(wù)器來(lái)向受感染的手機(jī)發(fā)送控制命令，然后利用這些手機(jī)來(lái)組成一個(gè)僵尸網(wǎng)絡(luò)。簡(jiǎn)而言之，在傳統(tǒng)的攻擊場(chǎng)景中，攻擊者主要使用的是遠(yuǎn)程服務(wù)器來(lái)控制目標(biāo)手機(jī)中的惡意軟件，并向惡意軟件發(fā)出控制命令，以此來(lái)控制受感染的手機(jī)。

攻擊者能用Twitter來(lái)做什么?

然而，Twitoor的開(kāi)發(fā)者并沒(méi)有打算使用C&C服務(wù)器來(lái)與受感染的手機(jī)通信。令人驚訝的是，Twitoor 可以使用Twitter社交網(wǎng)絡(luò)來(lái)控制目標(biāo)用戶的安卓智能手機(jī)。這款惡意軟件會(huì)定時(shí)對(duì)指定的Twitter賬號(hào)進(jìn)行檢查，然后從該Twitter 賬號(hào)所發(fā)布的加密推文中讀取出控制命令。

Lukas Stefanko是ESET公司的一名安全研究人員，他發(fā)表的一篇博文中提到：這是一種非常新穎的攻擊方式，攻擊者無(wú)需再去維護(hù)一臺(tái)命令控制服務(wù)器(C&C )，他們可以直接使用Twitter賬號(hào)來(lái)向惡意軟件發(fā)送指令，而且采用這樣的控制方式也能夠大大降低惡意軟件被檢測(cè)到的幾率。

首個(gè)基于Twitter的安卓僵尸網(wǎng)絡(luò)

ESET公司指出，該僵尸網(wǎng)絡(luò)是目前首個(gè)利用Twitter來(lái)發(fā)送控制命令的Android僵尸網(wǎng)絡(luò)。眾所周知， Twitter網(wǎng)站與2006年正式進(jìn)入人們的視野之中，而最早出現(xiàn)的由Twitter控制的 Windows僵尸網(wǎng)絡(luò)則出現(xiàn)在2009年。

在此之前，曾經(jīng)也出現(xiàn)過(guò)很多通過(guò)非傳統(tǒng)手段來(lái)控制Android肉雞的惡意軟件，這些惡意軟件可以通過(guò)博客、Google云端系統(tǒng)、以及百度云端系統(tǒng)來(lái)傳播惡意控制命令。但是在 Stefanko看來(lái)，只有Twitoor是第一個(gè)基于Twitter社交網(wǎng)絡(luò)來(lái)傳播控制命令的惡意軟件。

ESET的安全研究人員表示，目前在各大安卓應(yīng)用市場(chǎng)中還沒(méi)有檢測(cè)到Twitoor的蹤跡，所以攻擊者很有可能是通過(guò)惡意鏈接的方式來(lái)傳播這款惡意軟件。

扒一扒Twitoor

實(shí)際上，Twitoor是一個(gè)木馬后門，它可以在受感染的智能設(shè)備中下載其他的惡意軟件，而且這一木馬后門已經(jīng)活躍了一個(gè)月之久了。這款惡意應(yīng)用是病毒Twitoor.A的變種，考慮到目前安全研究人員還沒(méi)有在任何一個(gè)安卓官方應(yīng)用市場(chǎng)上檢測(cè)到 Twitoor的身影，所以專家推測(cè)攻擊者很有可能是通過(guò)惡意短信或者惡意URL鏈接的方式來(lái)感染用戶的手機(jī)。它可以偽裝成色情視頻播放軟件或者彩信客戶端，并以此來(lái)引誘用戶上當(dāng)。當(dāng)然了，Twitoor 肯定不具備上述兩者的功能。

[[170738]]

Twitoor啟動(dòng)之后，便會(huì)立刻進(jìn)入“隱身”狀態(tài)，然后定時(shí)檢測(cè)特定的Twitter賬號(hào)，并從賬號(hào)中獲取控制命令。當(dāng)Twitoor 收到了攻擊者所發(fā)送的指令之后，它會(huì)根據(jù)指令的不同要求來(lái)完成不同的任務(wù)。例如，它可以下載其他的惡意軟件，以及更換用于接收命令的Twitter賬號(hào)等等。

警鐘

Stefanko表示：

“Twitoor的出現(xiàn)也足以證明，現(xiàn)在的網(wǎng)絡(luò)犯罪分子們正在不斷改良他們的攻擊技術(shù)。因?yàn)楹诳蛡円仓溃绻麤](méi)有技術(shù)上的創(chuàng)新，即使是黑客也會(huì)被市場(chǎng)淘汰。至于應(yīng)對(duì)方案的話，廣大互聯(lián)網(wǎng)用戶可以在計(jì)算機(jī)或者智能設(shè)備中安裝安全防護(hù)軟件，這樣可以從一定程度上保護(hù)自己的安全。”

ESET公司的安全研究人員表示，在基于Twitter的僵尸網(wǎng)絡(luò)出現(xiàn)之后，未來(lái)我們將有可能看到更多的黑客會(huì)利用Facebook 、LinkedIn以及其他社交網(wǎng)絡(luò)平臺(tái)來(lái)大做文章。所以請(qǐng)各位安全專家們做好心理準(zhǔn)備，因?yàn)椴痪弥髮?huì)出現(xiàn)更多復(fù)雜的僵尸網(wǎng)絡(luò)。