Wpeeper Mobile Malware
Biztonsági elemzők új típusú rosszindulatú programokat tártak fel, amelyek Android-eszközöket céloznak meg. Ez a Wpeeper nevű rosszindulatú program korábban ismeretlen volt, és feltört WordPress-webhelyeket alkalmaz a Command-and-Control (C2) szerverkapcsolatok elfedésére, ami megnehezíti az észlelést. A Wpeeper ELF binárisként működik, és HTTPS-t használ a biztonságos kommunikációhoz C2-szervereivel.
A Wpeeper szabványos hátsó ajtós trójaiként működik Androidra, és különféle tevékenységeket tesz lehetővé, beleértve az érzékeny eszközadatok gyűjtését, fájl- és könyvtárkezelést, fájlátvitelt (feltöltés és letöltés), valamint távoli parancsvégrehajtást.
Tartalomjegyzék
A Wpeeper kártevő megfertőzi az eszközöket feltört Android-alkalmazásokon keresztül
A kompromittált ELF bináris az UPtodown App Store Android-alkalmazás módosított verziójában van elrejtve (csomagnév: „com.uptodown”), és az APK-fájl a hátsó ajtó hordozójaként szolgál, az észlelés elkerülésére.
Az Uptodown App Store alkalmazás választása ehhez a kampányhoz azt sugallja, hogy egy legitim, harmadik féltől származó alkalmazáspiacot álcáznak, és a gyanútlan felhasználókat ráveszik a telepítésre. Az Android-apk.org statisztikái szerint az alkalmazás kompromittált verzióját (5.92) eddig 2609 alkalommal töltötték le.
A Wpeeper malware összetett parancs- és vezérlési architektúrát használ
A Wpeeper kifinomult C2-architektúrát alkalmaz, amely magában foglalja a fertőzött WordPress-webhelyeket közvetítőként az eredeti C2-szerverek elhomályosítására. Legfeljebb 45 C2-kiszolgálót azonosítottak ezen az infrastruktúrán belül, amelyek közül kilencet a mintákba kódoltak a C2-lista dinamikus frissítése érdekében.
Ezek a keménykódolt szerverek nem valódi C2-k, hanem C2-átirányítók – céljuk a bot kérései továbbítása az autentikus C2-nek, hogy megvédjék az eredeti C2-t az észleléstől. Ez azt az aggodalmat is felvetette, hogy a támadók közvetlenül irányíthatják a hardcoded szerverek egy részét, mivel fennáll annak a veszélye, hogy elveszítik a botnethez való hozzáférést, ha a WordPress webhely rendszergazdái tudomást szereznek a kompromittálásról, és megteszik a megfelelő lépéseket.
A támadók különféle tolakodó műveleteket hajthatnak végre a fertőzött eszközökön
A C2 szervertől kapott parancsok lehetővé teszik a rosszindulatú program számára, hogy összegyűjtse az eszköz- és fájladatokat, listázza a telepített alkalmazásokat, frissítse a C2 szervert, töltsön le és futtasson további hasznos adatokat a C2 szerverről vagy egy megadott URL-ről, és öneltávolítsa.
A kampány teljes céljai és hatóköre jelenleg nem világos. Mégis felmerül a gyanú, hogy ezt a megtévesztő taktikát a telepítési számok növelésére, majd a rosszindulatú program képességeinek felfedésére használták.
Az ilyen rosszindulatú programok által jelentett veszélyek minimalizálása érdekében kulcsfontosságú, hogy kizárólag jó hírű forrásokból származó alkalmazásokat telepítsünk, és letöltés előtt gondosan átnézzük az alkalmazások minősítését és engedélyeit.
