포스팅 내용

국내외 보안동향

트위터 계정으로 제어되는 안드로이드 봇넷 발견

트위터 계정으로 제어되는 안드로이드 봇넷 발견

Botnet of Android Devices Controlled via Twitter Accounts


ESET 연구원들이 감염된 안드로이드 기기에 트위터를 통해 제어 메시지를 전송하여 이를 제어하는 최초 봇넷을 발견했습니다.


해당 봇넷은 안드로이드 스마트폰과 태블릿을 Twitoor 악성코드에 감염시킵니다. Twitoor 악성코드는 스팸 메시지나 비공식 앱스토어의 앱을 통해 배포되는 백도어 트로이목마입니다.


ESET은 해당 트로이목마가 MMS 뷰어와 성인 컨텐츠 플레이어로 위장한 앱 내에 숨어있다고 밝혔습니다. 위장 앱은 아무런 기능도 제공하지 않으며, 사용자가 이를 설치하면 곧바로 그들의 존재를 숨깁니다.


이후 Twitoor 트로이목마는 새로운 명령을 받는 간격을 설정하기 위해 트위터 계정을 체크합니다. 그리고 봇넷 운영자가 트윗을 통해 지시를 내리면, 트로이목마는 이를 해석하여 악성 행위로 변환시킵니다.


ESET은 Twitoor 트로이목마의 정확한 기술적 능력을 공개하지 않았습니다. 그러나 봇넷들은 보통 DDoS 공격, 광고 푸싱, 타 악성코드 푸싱, 스팸메시지를 보내는데 사용되는 것으로 밝혀졌습니다.


트위터를 통해 제어되는 안드로이드 봇넷이 발견된 것은 이번이 처음입니다. 과거에는 악성코드 제작자들이 C&C 인프라를 통해 트위터를 사용한 데스크탑 악성코드를 제작한 사례가 있습니다. 그 밖에 Dropbox, Github, Baidu, Google Docs와 같은 다른 서비스들도 악용된 경우가 있습니다.


Twitoor 봇넷에서 주목할 부분은 트위터 C&C 계정이 언제든지 다른 새로운 계정을 통해 봇넷을 제어할 수 있다는 것입니다. 따라서 공격자는 계정을 지속적으로 변경해 탐지되는 것을 피할 수 있습니다. 트위터 직원의 협업 없이 봇넷의 C&C 계정을 막는 것은 거의 불가능할 것으로 보여지고 있습니다.




출처 :

http://news.softpedia.com/news/botnet-of-android-devices-controlled-via-twitter-accounts-507612.shtml



티스토리 방명록 작성
name password homepage