بدافزار Wpeeper Mobile

تحلیلگران امنیتی نوع جدیدی از بدافزار را کشف کرده اند که هدف آن دستگاه های اندرویدی است. این بدافزار که Wpeeper نام داشت قبلا ناشناخته بود و از سایت‌های وردپرس در معرض خطر برای پنهان کردن اتصالات سرور Command-and-Control (C2) استفاده می‌کرد و تشخیص آن را سخت‌تر می‌کرد. Wpeeper به عنوان یک باینری ELF عمل می کند و از HTTPS برای ارتباط امن با سرورهای C2 خود استفاده می کند.

Wpeeper به عنوان یک تروجان در پشتی استاندارد برای اندروید عمل می‌کند و فعالیت‌های مختلفی از جمله جمع‌آوری داده‌های حساس دستگاه، مدیریت فایل و دایرکتوری، انتقال فایل (آپلود و دانلود) و اجرای فرمان از راه دور را ممکن می‌سازد.

بدافزار Wpeeper دستگاه ها را از طریق برنامه های در معرض خطر اندروید آلوده می کند

باینری ELF در معرض خطر در نسخه اصلاح شده برنامه UPtodown App Store برای Android (نام بسته 'com.uptodown') پنهان شده است، با فایل APK به عنوان حاملی برای درب پشتی، طراحی شده برای جلوگیری از شناسایی.

انتخاب اپلیکیشن Uptodown App Store برای این کمپین نشان‌دهنده تلاشی برای استتار کردن بازار برنامه‌های شخص ثالث قانونی و فریب کاربران ناآگاه برای نصب آن است. طبق آمار Android-apk.org، نسخه به خطر افتاده این برنامه (5.92) تاکنون 2609 بار دانلود شده است.

بدافزار Wpeeper از معماری پیچیده فرمان و کنترل استفاده می کند

Wpeeper از یک معماری پیچیده C2 استفاده می کند که شامل سایت های آلوده وردپرس است که به عنوان واسطه ای برای مخفی کردن سرورهای C2 واقعی خود عمل می کنند. تا 45 سرور C2 در این زیرساخت شناسایی شده است که 9 مورد از آنها در نمونه ها کدگذاری شده اند تا به صورت پویا لیست C2 را به روز کنند.

این سرورهای رمزگذاری شده C2 واقعی نیستند، بلکه تغییر مسیرهای C2 هستند - هدف آنها ارسال درخواست های ربات به C2 معتبر است، با هدف محافظت از C2 واقعی در برابر شناسایی. این همچنین این نگرانی را ایجاد کرده است که مهاجمان ممکن است مستقیماً برخی از سرورهای کدگذاری شده را کنترل کنند، زیرا در صورت آگاهی مدیران سایت وردپرس و انجام اقدامات اصلاحی، خطر از دست دادن دسترسی به بات نت وجود دارد.

مهاجمان می توانند اقدامات نفوذی مختلفی را روی دستگاه های آلوده انجام دهند

دستورات دریافتی از سرور C2 بدافزار را قادر می‌سازد تا جزئیات دستگاه و فایل را جمع‌آوری کند، برنامه‌های نصب شده را فهرست کند، سرور C2 را به‌روزرسانی کند، بارهای اضافی را از سرور C2 یا یک URL مشخص دانلود و اجرا کند و خود را حذف کند.

اهداف و دامنه کامل این کمپین در حال حاضر نامشخص است. با این حال، گمان هایی وجود دارد که این تاکتیک فریبنده ممکن است برای افزایش آمار نصب و متعاقبا افشای قابلیت های بدافزار به کار گرفته شده باشد.

برای به حداقل رساندن خطرات ناشی از چنین بدافزاری، بسیار مهم است که برنامه‌ها را منحصراً از منابع معتبر نصب کنید و قبل از دانلود، رتبه‌بندی‌ها و مجوزهای برنامه را به دقت بررسی کنید.