写真提供:マイナビニュース

写真拡大

ESETは8月24日(米国時間)、「First Twitter-controlled Android botnet discovered」において、Android/Twitoorと呼ばれるAndroid向けのマルウェアを伝えた。この1ヶ月ほどアクティブな活動が観測されているマルウェアで、Androidに感染してほかのマルウェアをダウンロードするといったバックドアとして機能すると説明がある。このマルウェアはTwitterをC&Cサーバの代わりとして利用しており、これまでのAndroid向けマルウェアよりも刷新的だと指摘している。

Android/Twitoorはいったん感染したシステム上で起動されると自分自身の存在を秘匿するとともに、実行するコマンドを得るために定期的に特定のTwitterアカウントにアクセスして内容をチェックするといった動作を行う。受け取ったコマンドの内容に従い、ほかのマルウェアをダウンロードしたり、ほかのC&C Twitterアカウントに切り替えたりするといった処理を行う。

このマルウェアによって構築されるボットネットでは、メッセージの暗号化、C&Cネットワークの複雑なトポロジー、ソーシャルネットワーク・サービスの活用など複数のステップを踏んで弾力的なネットワークを実現している。このようなネットワークはボットネットのコミュニケーションであることを検出することが難しく、さらにブロックすることも難しいと研究者は指摘している。

(後藤大地)