Недавно обнаруженный бэкдор для Android использует инновационный метод приема команд - он подключается к учетной записи Twitter вместо командного центра, говорят исследователи ESET.
Вредоносная программа Android/Twitoor была разработана для загрузки других вредоносных приложений на зараженные устройства. Исследователи утверждают, что вредонос активен уже в течение месяца. К счастью, эта угроза не распространяется через официальные источники Android, обычно распространение происходит через SMS или вредоносные URL.
По данным исследователей ESET бэкдор выдает себя за различные приложения, например, за порно-плеер или программу для MMS, однако не имеет этого функционала. После запуска вредоносная программа скрывает свое присутствие на зараженном устройстве и начинает проверять определенные аккаунты Twitter через одинаковые промежутки времени для получения команд.
В зависимости от команд, которые он получает, бэкдор может либо загрузить вредоносные приложения на зараженное устройство, либо может переключиться на другую учетную запись Twitter.
«Использование Twitter вместо командного центра – довольно инновационная стратегия для Android-ботнета» - Лукаш Стефанко (Lukáš Štefanko), исследователь вредоносных программ ESET, который обнаружил вредоносное приложение.
ESET объясняют, что ботнетам необходима связь с командным центром, эта связь может выдать наличие вредоносной программы на устройстве и вызвать подозрение пользователей.
Для того, чтобы гарантировать, что связь Twitoor и командного центра устойчива, авторы вредоноса решили шифровать передаваемые сообщения. Они также использовали и новые методы связи, такие как социальные сети.
«Эти каналы связи трудно обнаружить и еще труднее блокировать. С другой стороны, злоумышленники всегда могут зарегистрировать новую учетную запись для этих целей» - объясняет Стефанко.
Исследователь также объясняет, что Twitoor является первым вредоносом для Android, использующим такую стратегию, хотя были обнаружены и другие ботнеты, использовавшие нетрадиционные средства (блоги или облачные системы обмена сообщениями). Однако ботнеты, использующие Twitter и работающие под Windows были обнаружены еще в 2009 году.
Другие социальные сети, в том числе Facebook и LinkedIn, как ожидается, тоже могут быть использованы для этих целей. На данный момент Twitoor используется для загрузки мобильного банковского вредоноса на зараженные устройства, но в скором времени злоумышленники могут переключиться на другие виды вредоносных программ, такие как вымогатели, подчеркивают исследователи ESET.
Для того, чтобы оставаться защищенным, пользователи должны быть осторожными при открытии URL-адресов, которые они получают из ненадежных источников. Также следует убедиться, что операционная система и приложения находятся в актуальном состоянии и обновлены.
В широко используемой библиотеке zlib выявлена критическая уязвимость, позволяющая через порчу памяти вызвать сбой программы (DoS). Ее также потенциально можно использовать для удаленного выполнения стороннего кода в системе.
Пока не решенной проблеме, классифицируемой как переполнение буфера в глобальной памяти, присвоен идентификатор CVE-2026-22184. Поскольку эксплойт тривиален, степень опасности уязвимости была оценена в 9,3 балла по шкале CVSS.
Катастрофическая ошибка возникает при запуске утилиты untgz, а точнее, при выполнении функции TGZfname(), отвечающей за обработку имен архивных файлов, вводимых через консоль.
Как оказалось, уязвимый код не проверяет длину ввода перед копированием. Когда она превышает 1024 байт, происходит запись за границей буфера, что приводит к нарушению целостности памяти.
Проблему усугубляет тот факт, что untgz отрабатывает до парсинга и валидации архива. Эксплойт в данном случае не требует создания вредоносного файла со сложной структурой, достаточно лишь передать длинное имя в качестве аргумента командной строки.
Уязвимости подвержены все сборки zlib до 1.3.1.2 включительно. В качестве временной меры защиты админам и разработчикам рекомендуется ограничить использование untgz либо вовсе удалить соответствующий пакет до появления пропатченной версии.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
