第一个通过Twitter来控制的Android僵尸网络

近日，来自ESET公司（一家世界知名的电脑软件安全公司）的安全研究人员发现，一名专门制作Android恶意软件的黑客正通过使用Twitter社交网络来控制一些Twitter用户的Android智能手机。毫无疑问，这些Android智能手机都遭到了恶意软件的感染。

安全研究人员发现：黑客在一款名叫Twitoor的Android智能手机APP中加入了一个恶意攻击模块，该模块实际上相当于一个后门木马病毒。当用户的Android智能手机感染了Twitter之后，该模块就会秘密地在用户的系统中安装其他的恶意软件。

在该恶意软件启动之后，它会立即进入隐身状态；与此同时，在一定的时间周期内，它会对特定的Twitter帐户进行扫描和检查。在接收到黑客通过服务器发送的控制命令之后，它会根据指令的不同要求来完成不同的任务，例如：下载其他的恶意应用，或修改C&C服务器中的Twitter帐户信息。

直到目前为止，安全研究专家还没有在各大官方Android应用商店中发现Twitoor的身影。安全研究人员由此断定，黑客很可能是利用发送短信息或恶意网页链接的方式来传播这一恶意软件。从软件开发的角度来分析，Twitoor的作者很可能效仿了某个色情视频播放软件或某个彩信APP的开发形式，但Twitoor所实现的功能很明显与前两者不同。

首个由Twitter控制的Android僵尸网络

通过网络服务器来控制受感染的智能手机等智能设备，这是黑客惯用的攻击手段。黑客通过服务器可向用户发送一些恶意指令，从而利用这些被感染的设备来构建出一个僵尸网络，并利用设备中潜伏着的恶意软件来发动大规模攻击。

而恶意软件Twitoor的制作者对这一攻击方式进行了改良。他决定使用著名的社交网络－Twitter来发动攻击，并用这种攻击方式替代了原先利用网络服务器来发送恶意指令的攻击方式。当用户的Android智能手机感染了Twitoor之后，它会经常对用户的Twitter帐户进行检查，同时读取一些被加密的信息，并从中获取操作指令。

据报道，ESET公司的安全研究人员LukasStefanko是Twitoor恶意软件的首个发现者。本周三，也就是昨天，他在一篇博文中写到：“近期出现的Android僵尸网络攻击，可以说是一次极具创意的恶意软件攻击。它打破了以往需要依赖C&C服务器才能实施攻击的限制；除此之外，由于它所采用的特殊实现机制，导致安全检测人员也很难发现Twitoor黑客的攻击痕迹。”

ESET公司指出，该僵尸网络是目前首个利用Twitter进行控制的Android僵尸网络。

黑客在构建僵尸网络的过程中，往往需要对被感染设备中的恶意软件进行及时更新。而对于任何僵尸网络来说，通信安全问题就是它的阿克琉斯之踵。阻断bot木马的运行，往往会对僵尸网络造成致命的打击。

另外，相关的权威安全机构应当加强对于C&C服务器的监管和保护。只有通过这样的方法，我们才有可能摧毁整个僵尸网络，并掌握。

一些僵尸网络的设计者通常会采取各种不同的措施，让僵尸网络的通信变得更加灵活，例如：对通信信息进行加密处理、在构建网络时，使用复杂的网络拓扑结构、或是利用一些新创的方式实施网络通信等。所有这些措施都是基于社交网络而实施的。

Stefanko解释称：“现在，要找出黑客所使用的通信信道仍然非常的困难。因为黑客可以通过网络请求重定向的方式建立一个新的帐号，并以此来躲避检测。”

总结

众所周知，2006年，Twitter网站正式进入人们的眼帘，而最早出现的由Twitter控制的Windows僵尸网络则出现在2009年。在此之前，曾经也出现过很多通过非传统手段来控制Android肉鸡的恶意软件，这些恶意软件可以通过博客、Google的云端系统、以及百度的云端系统来传播恶意控制命令。但是在Stefanko看来，只有Twitoor是第一个基于Twitter等社交网络来传播控制命令的恶意软件。

ESET公司的安全研究人员表示，在基于Twitter的僵尸网络出现之后，未来我们将有可能看到有更多的黑客会利用Facebook、LinkedIn以及其他社交网络平台来做文章。所以请各位安全专家们做好心理准备，因为不久之后将会出现更多复杂的僵尸网络。

Stefanko表示：现在，在很多的银行木马软件中都附加有Twitoor木马。这也就意味着，僵尸网络的操纵者就可通过这种方式来大肆传播诸如勒索软件之类的其他恶意软件。

“Twitoor木马的大肆传播，正是网络黑客创造的又一个经典营销案例。它给广大的互联网用户敲响了警钟，要求我们须时刻注意自己的PC以及移动设备的安全，并积极改进安全维护措施，加强对于设备的安全保护。”

* 参考来源：NetworkWorld，本文由Alpha_h4ck编译