C&C Server หรอ? เสี่ยงเกินไป !! ส่งคำสั่งผ่าน Twitter นี่แหละเจ๋งจริง
ESET ผู้ให้บริการโซลูชัน Antivirus ชื่อดัง ออกมาเปิดเผยถึงมัลแวร์บน Android ตัวใหม่ ที่ใช้ช่องทาง Twitter ในการติดต่อสื่อสารระหว่างสมาร์ทโฟนกับแฮ็คเกอร์ แทนที่จะใช้ C&C Server เหมือนปกติ โดยทำหน้าที่เป็น Backdoor ลอบติดตั้งมัลแวร์อื่นบนอุปกรณ์เพื่อทำกิจกรรมตามที่แฮ็คเกอร์ต้องการได้
มัลแวร์ดังกล่าวมีชื่อว่า Twitoor เป็นมัลแวร์ตัวแรกบน Android ที่รับคำสั่งจากแฮ็คเกอร์ผ่านทาง Twitter แทนที่จะเป็น C&C Server เพื่อระบุว่าตัวเองต้องทำอะไรต่อไป โดยมัลแวร์ดังกล่าวจะคอยตรวจสอบ Twitter Account ของแฮ็คเกอร์เพื่ออ่านทวีตข้อความที่ถูกเข้ารหัสสำหรับดำเนินกิจกรรมตามที่แฮ็คเกอร์ต้องการ
Lukas Stefanko นักวิจัยจาก ESET ระบุใน Blog เมื่อวันพุธที่ผ่านมาว่า วิธีการดังกล่าวนับว่าเป็นนวัตกรรมสำคัญของมัลแวร์ เนื่องจากช่วยตัดปัญหาการจัดการและดูแล C&C Server ทิ้งไป และการติดต่อสื่อสารผ่านทาง Twitter Account ทำให้ยากต่อการตรวจจับ
“ช่องทางสื่อสารนี้เป็นอะไรที่ตรวจจับและบล็อกได้ยาก นอกจากนี้ มันยังเป็นเรื่องง่ายสำหรับแฮ็คเกอร์ที่จะเปลี่ยนไปใช้ Account ใหม่ที่เพิ่งสร้าง [เมื่อ Account เดิมถูกจับได้] … ในอนาคต เราอาจจะเห็นแฮ็คเกอร์ใช้ประโยชน์จาก Facebook Status, LinkedIn หรือโซเชียลมีเดียอื่นๆ ในการสั่งการมัลแวร์ก็เป็นได้” — Stefanko ให้ความเห็น
ESET ตรวจสอบ Android App Stores หลายแห่ง แต่ไม่พบมัลแวร์ดังกล่าวแต่อย่างใด คาดว่า Twitoor แพร่กระจายตัวผ่านการส่งลิงค์ URL ไปยังช่องทางต่างๆ หรือ SMS โดยปลอมตัวเป็นแอพพลิเคชันสำหรับเล่นวิดีโอ 18+ หรือแอพพลิเคชันสำหรับรับส่งข้อความมัลติมีเดีย จนถึงตอนนี้ พบว่าหลังจากที่ Twitoor ถูกติดตั้งลงบนเครื่องของเหยื่อแล้ว มันจะทำการดาวน์โหลด Banking Malware มาติดตั้งเพื่อแอบขโมยข้อมูลเกี่ยวกับธนาคารและบัตรเครดิตของผู้ใช้ต่อไป