Wpeeper Mobile Malware
Bezpečnostní analytici objevili nový typ malwaru zaměřeného na zařízení Android. Tento malware s názvem Wpeeper byl dříve neznámý a využívá kompromitované weby WordPress k maskování připojení k serveru Command-and-Control (C2), takže je obtížnější jej odhalit. Wpeeper funguje jako binární ELF a využívá HTTPS pro zabezpečenou komunikaci se svými C2 servery.
Wpeeper funguje jako standardní backdoor trojan pro Android a umožňuje různé činnosti, včetně shromažďování citlivých dat zařízení, správy souborů a adresářů, přenosů souborů (nahrávání a stahování) a vzdáleného spouštění příkazů.
Obsah
Malware Wpeeper infikuje zařízení prostřednictvím kompromitovaných aplikací pro Android
Kompromitovaný binární soubor ELF je ukryt v upravené verzi aplikace UPtodown App Store pro Android (název balíčku 'com.uptodown'), přičemž soubor APK slouží jako nosič pro zadní vrátka, aby se zabránilo detekci.
Volba aplikace Uptodown App Store pro tuto kampaň naznačuje snahu zakamuflovat legitimní tržiště aplikací třetích stran a oklamat nic netušící uživatele, aby si ji nainstalovali. Podle statistik z Android-apk.org byla napadená verze aplikace (5.92) dosud stažena 2 609krát.
Malware Wpeeper využívá komplexní architekturu příkazů a řízení
Wpeeper využívá sofistikovanou architekturu C2, která zahrnuje infikované weby WordPress, které působí jako prostředníci k zamlžování jeho skutečných serverů C2. V rámci této infrastruktury bylo identifikováno až 45 serverů C2, přičemž devět z nich bylo napevno zakódováno do vzorků pro dynamickou aktualizaci seznamu C2.
Tyto napevno zakódované servery nejsou skutečnými C2, ale přesměrovači C2 – jejich účelem je předávat požadavky robota autentickému C2 s cílem chránit pravý C2 před detekcí. To také vyvolalo obavy, že útočníci mohou přímo ovládat některé z pevně zakódovaných serverů, protože existuje riziko ztráty přístupu k botnetu, pokud se správci stránek WordPress dozví o kompromitaci a podniknou nápravná opatření.
Útočníci mohou na infikovaných zařízeních provádět různé rušivé akce
Příkazy přijaté ze serveru C2 umožňují malwaru shromažďovat podrobnosti o zařízení a souborech, vypisovat nainstalované aplikace, aktualizovat server C2, stahovat a spouštět další užitečné zatížení ze serveru C2 nebo zadané adresy URL a samo se odstraňovat.
Úplné cíle a rozsah kampaně nejsou v současné době jasné. Přesto existují podezření, že tato klamavá taktika mohla být použita ke zvýšení počtu instalací a následnému odhalení schopností malwaru.
Aby se minimalizovalo nebezpečí, které takový malware představuje, je důležité instalovat aplikace výhradně z renomovaných zdrojů a před stažením pečlivě zkontrolovat hodnocení a oprávnění aplikací.
