Malware Wpeeper Mobile
Analistët e sigurisë kanë zbuluar një lloj të ri malware që synon pajisjet Android. Ky malware, i quajtur Wpeeper, ishte i panjohur më parë dhe përdor faqet e komprometuara të WordPress për të maskuar lidhjet e serverit të tij Command-and-Control (C2), duke e bërë më të vështirë zbulimin. Wpeeper funksionon si një binar ELF dhe përdor HTTPS për komunikim të sigurt me serverët e tij C2.
Wpeeper funksionon si një Trojan standard i pasme për Android, duke mundësuar aktivitete të ndryshme, duke përfshirë mbledhjen e të dhënave të ndjeshme të pajisjes, menaxhimin e skedarëve dhe drejtorive, transferimin e skedarëve (ngarkim dhe shkarkim) dhe ekzekutimin e komandës në distancë.
Tabela e Përmbajtjes
Malware Wpeeper infekton pajisjet përmes aplikacioneve të komprometuara Android
Binar ELF i komprometuar fshihet brenda një versioni të modifikuar të aplikacionit UPtodown App Store për Android (emri i paketës 'com.uptodown'), me skedarin APK që shërben si një bartës për derën e pasme, i krijuar për të shmangur zbulimin.
Zgjedhja e aplikacionit Uptodown App Store për këtë fushatë sugjeron një përpjekje për të kamufluar një treg të ligjshëm aplikacionesh të palëve të treta dhe për të mashtruar përdoruesit që nuk dyshojnë për ta instaluar atë. Sipas statistikave nga Android-apk.org, versioni i komprometuar i aplikacionit (5.92) është shkarkuar 2609 herë deri më tani.
Malware Wpeeper përdor arkitekturën komplekse të komandës dhe kontrollit
Wpeeper përdor një arkitekturë të sofistikuar C2 që përfshin faqet e infektuara të WordPress që veprojnë si ndërmjetës për të errësuar serverët e tij të vërtetë C2. Deri në 45 serverë C2 janë identifikuar brenda kësaj infrastrukture, me nëntë prej tyre të koduar në mostra për të përditësuar në mënyrë dinamike listën C2.
Këta serverë të koduar nuk janë C2 aktualë, por ridrejtues C2 – qëllimi i tyre është të përcjellin kërkesat e botit në C2 autentike, duke synuar të mbrojnë C2 origjinale nga zbulimi. Kjo gjithashtu ka ngritur shqetësimin se sulmuesit mund të kontrollojnë drejtpërdrejt disa nga serverët e koduar, pasi ekziston rreziku i humbjes së aksesit në botnet nëse administratorët e faqes së WordPress bëhen të vetëdijshëm për kompromisin dhe ndërmarrin veprime korrigjuese.
Sulmuesit mund të kryejnë veprime të ndryshme ndërhyrëse në pajisjet e infektuara
Komandat e marra nga serveri C2 i mundësojnë malware të mbledhë detajet e pajisjes dhe skedarëve, të listojë aplikacionet e instaluara, të përditësojë serverin C2, të shkarkojë dhe ekzekutojë ngarkesa shtesë nga serveri C2 ose një URL e specifikuar dhe të hiqet vetë.
Objektivat dhe qëllimi i plotë i fushatës janë aktualisht të paqarta. Megjithatë, ka dyshime se kjo taktikë mashtruese mund të jetë përdorur për të rritur shifrat e instalimit dhe më pas ekspozuar aftësitë e malware.
Për të minimizuar rreziqet e paraqitura nga këto malware, është thelbësore që të instaloni ekskluzivisht aplikacione nga burime me reputacion dhe të rishikoni me kujdes vlerësimet dhe lejet e aplikacioneve përpara se të shkarkoni.
