Złośliwe oprogramowanie mobilne Wpeeper
Analitycy bezpieczeństwa odkryli nowy typ złośliwego oprogramowania atakującego urządzenia z Androidem. Szkodnik ten, nazwany Wpeeper, był wcześniej nieznany i wykorzystuje zainfekowane witryny WordPress do maskowania połączeń z serwerem dowodzenia i kontroli (C2), co utrudnia jego wykrycie. Wpeeper działa jako plik binarny ELF i wykorzystuje HTTPS do bezpiecznej komunikacji ze swoimi serwerami C2.
Wpeeper działa jako standardowy trojan typu backdoor dla Androida, umożliwiając różne działania, w tym gromadzenie wrażliwych danych z urządzenia, zarządzanie plikami i katalogami, przesyłanie plików (przesyłanie i pobieranie) oraz zdalne wykonywanie poleceń.
Spis treści
Złośliwe oprogramowanie Wpeeper infekuje urządzenia poprzez zainfekowane aplikacje na Androida
Zaatakowany plik binarny ELF jest ukryty w zmodyfikowanej wersji aplikacji UPtodown App Store dla Androida (nazwa pakietu „com.uptodown”), przy czym plik APK służy jako nośnik backdoora, którego zadaniem jest uniknięcie wykrycia.
Wybór aplikacji Uptodown App Store do tej kampanii sugeruje próbę zamaskowania legalnego rynku aplikacji strony trzeciej i oszukania niczego niepodejrzewających użytkowników do jej zainstalowania. Według statystyk z Android-apk.org zaatakowaną wersję aplikacji (5.92) pobrano dotychczas 2609 razy.
Złośliwe oprogramowanie Wpeeper wykorzystuje złożoną architekturę dowodzenia i kontroli
Wpeeper wykorzystuje wyrafinowaną architekturę C2, która obejmuje zainfekowane witryny WordPress działające jako pośrednicy w maskowaniu oryginalnych serwerów C2. W ramach tej infrastruktury zidentyfikowano do 45 serwerów C2, przy czym dziewięć z nich zostało zakodowanych na stałe w próbkach w celu dynamicznej aktualizacji listy C2.
Te zakodowane na stałe serwery nie są rzeczywistymi serwerami C2, ale przekierowaniami C2 — ich celem jest przekazywanie żądań bota do autentycznego serwera C2, co ma na celu ochronę prawdziwego serwera C2 przed wykryciem. Wzbudziło to również obawę, że osoby atakujące mogą bezpośrednio kontrolować niektóre z zakodowanych na stałe serwerów, ponieważ istnieje ryzyko utraty dostępu do botnetu, jeśli administratorzy witryny WordPress dowiedzą się o kompromisie i podejmą działania naprawcze.
Osoby atakujące mogą wykonywać różne inwazyjne działania na zainfekowanych urządzeniach
Polecenia otrzymane z serwera C2 umożliwiają złośliwemu oprogramowaniu zbieranie szczegółów urządzenia i plików, wyświetlanie listy zainstalowanych aplikacji, aktualizowanie serwera C2, pobieranie i uruchamianie dodatkowych ładunków z serwera C2 lub określonego adresu URL oraz samousuwanie się.
Pełne cele i zakres kampanii są obecnie niejasne. Mimo to istnieją podejrzenia, że ta zwodnicza taktyka mogła zostać zastosowana w celu zwiększenia liczby instalacji, a następnie ujawnienia możliwości szkodliwego oprogramowania.
Aby zminimalizować zagrożenia stwarzane przez takie złośliwe oprogramowanie, ważne jest, aby instalować aplikacje wyłącznie z renomowanych źródeł i dokładnie przeglądać oceny i uprawnienia aplikacji przed pobraniem.
