„Wpeeper Mobile“ kenkėjiška programa
Saugumo analitikai atskleidė naujo tipo kenkėjiškas programas, skirtas „Android“ įrenginiams. Ši kenkėjiška programa, pavadinta „Wpeeper“, anksčiau buvo nežinoma ir naudoja pažeistas „WordPress“ svetaines, kad užmaskuotų savo komandų ir valdymo (C2) serverio ryšius, todėl ją sunkiau aptikti. „Wpeeper“ veikia kaip ELF dvejetainis failas ir saugiam ryšiui su C2 serveriais naudoja HTTPS.
„Wpeeper“ veikia kaip standartinis „Android“ skirtas „backdoor“ Trojos arklys, leidžiantis atlikti įvairią veiklą, įskaitant jautrių įrenginio duomenų rinkimą, failų ir katalogų valdymą, failų perkėlimą (įkėlimą ir atsisiuntimą) ir nuotolinį komandų vykdymą.
Turinys
„Wpeeper“ kenkėjiška programa užkrečia įrenginius per pažeistas „Android“ programas
Pažeistas ELF dvejetainis failas yra paslėptas modifikuotoje „Android“ skirtos „UPtodown App Store“ programos versijoje (paketo pavadinimas „com.uptodown“), o APK failas yra užpakalinių durų nešiklis, skirtas išvengti aptikimo.
„Uptodown App Store“ programos pasirinkimas šiai kampanijai rodo pastangas užmaskuoti teisėtą trečiosios šalies programų prekyvietę ir apgauti nieko neįtariančius vartotojus, kad jie ją įdiegtų. Pagal statistiką iš Android-apk.org, pažeista programėlės versija (5.92) iki šiol buvo atsisiųsta 2609 kartus.
„Wpeeper“ kenkėjiška programa naudoja sudėtingą komandų ir valdymo architektūrą
„Wpeeper“ naudoja sudėtingą C2 architektūrą, apimančią užkrėstas „WordPress“ svetaines, kurios veikia kaip tarpininkai, užtemdantys autentiškus C2 serverius. Šioje infrastruktūroje buvo nustatyta iki 45 C2 serverių, iš kurių devyni buvo užkoduoti į pavyzdžius, kad būtų dinamiškai atnaujintas C2 sąrašas.
Šie užkoduoti serveriai yra ne tikrieji C2, o C2 peradresatoriai – jų tikslas yra persiųsti roboto užklausas autentiškam C2, siekiant apsaugoti tikrąjį C2 nuo aptikimo. Tai taip pat sukėlė susirūpinimą, kad užpuolikai gali tiesiogiai valdyti kai kuriuos užkoduotus serverius, nes kyla pavojus prarasti prieigą prie botneto, jei „WordPress“ svetainės administratoriai sužinos apie kompromisą ir imsis taisomųjų veiksmų.
Užpuolikai gali atlikti įvairius įžeidžiančius veiksmus užkrėstuose įrenginiuose
Iš C2 serverio gautos komandos leidžia kenkėjiškajai programai rinkti įrenginio ir failo detales, įtraukti įdiegtų programų sąrašą, atnaujinti C2 serverį, atsisiųsti ir paleisti papildomas naudingas apkrovas iš C2 serverio arba nurodyto URL ir savarankiškai pašalinti.
Visi kampanijos tikslai ir apimtis šiuo metu neaiškūs. Vis dėlto kyla įtarimų, kad ši apgaulinga taktika galėjo būti panaudota siekiant padidinti diegimo skaičių ir vėliau atskleisti kenkėjiškos programos galimybes.
Norint sumažinti tokių kenkėjiškų programų keliamą pavojų, labai svarbu įdiegti programas tik iš patikimų šaltinių ir prieš atsisiunčiant atidžiai peržiūrėti programų įvertinimus ir leidimus.
