Malware

Botnet ตัวแรกที่เราพบใน Twitter

Android/Twitoor เป็นโปรแกรมที่แอบทำงานอยู่เบื้องหลังแอปพลิเคชัน มีความสามารถดาวน์โหลดโปรแกรมอันตรายลงเครื่องที่ไวรัสตัวนี้ฝังตัวอยู่ โปรแกรมนี้ทำงานอยู่ใน Twitter ประมาณเกือบหนึ่งเดือน ซึ่งอาจจะเข้ามาทาง SMS หรือ URL ที่แปลงเป็นสื่อลามก หรือแอปพลิเคชันปลอม

เมื่อเริ่มทำงาน มันจะซ่อนตัวจากระบบ และหาบัญชี Twitter ในช่วงระยะเวลาที่มีคำสั่ง ซึ่งขึ้นอยู่กับคำสั่งว่าจะให้ดาวน์โหลดแอปพลิเคชันอันตราย หรือเปลี่ยนเซิร์ฟเวอร์ C&C ของ Twitter เป็นเซิร์ฟเวอร์อื่น

“ใช้ Twitter แทนเซิร์ฟเวอร์ C&C เป็นนวัตกรรมใหม่ของแอนดรอยด์บอทเน็ต” คุณ Lukáš Štefanko นักวิจัยมัลแวร์จาก ESET ที่พบมัลแวร์ตัวนี้บอก

มัลแวร์เข้าควบคุมอุปกรณ์เพื่อเริ่มออกคำสั่งให้บอทเน็ตทำงาน การติดต่อสื่อสารนี้เป็นจุดอ่อนของบอทเน็ต เพราะอาจทำให้ผู้ใช้รู้ตัว และขัดขวางกระบวนการ และเซิร์ฟเวอร์ C&C จะสามารถสืบหาต้นตอและตรวจจับบอทเน็ตได้

เพื่อทำให้การสื่อสารของบอทเน็ตบน Twitter เงียบที่สุด ผู้พัฒนาจึงออกแบบการเข้ารหัสหลายขั้นตอน เพื่อปกปิดข้อความ

“ช่องทางการติดต่อนี้ยากที่จะตรวจจับ และบล็อกทั้งหมด” แต่อีกมุมหนึ่งมันก็ง่ายที่จะเปลี่ยนทิศทางโดยใช้บัญชีใหม่ คุณ Štefanko อธิบาย

ในประวัติศาสตร์ของ Windows Twitter ก่อตั้งเมื่อปี 2006 และใช้บอทเน็ตเมื่อปี 2009 แอนดรอยด์บอทเน็ตถูกใช้บนบล็อก หรือระบบส่งข้อความคลาวด์ของ Google หรือ Baidu แต่เจ้า Twitoor นับเป็นมัลแวร์ตัวแรก

นักวิจัยของ ESET บอกว่า “ในอนาคตเราอาจจะพบเครื่องมือเดียวกันนี้ในโซเชี่ยลมีเดียอื่นๆ อย่างเช่น Facebook หรือ Linkedln”

ณ ตอนนี้ โทรจัน Twittor มีหลายเวอร์ชันที่โจมตีธุรกรรมออนไลน์ แต่เจ้าบอทเน็ตยังมีความสามารถมากพอที่จะปล่อยมัลแวร์อื่นๆ อย่างเช่น Ransomware

“Twitoor เป็นหนึ่งในตัวอย่างของวิธีการที่อาชญากรไซเบอร์ใช้” คุณ Štefanko พูดต่อ “วิธีการป้องกัน? ผู้ใช้อินเตอร์เน็ตต้องให้ความสำคัญกับความปลอดภัย พร้อมกับใช้โปรแกรมรักษาความปลอดภัยทั้งบนคอมพิวเตอร์ และอุปกรณ์อื่น”

%d bloggers like this: