Wpeeper มัลแวร์มือถือ
นักวิเคราะห์ความปลอดภัยได้ค้นพบมัลแวร์ประเภทใหม่ที่มุ่งเป้าไปที่อุปกรณ์ Android มัลแวร์ชื่อ Wpeeper นี้ไม่เคยเป็นที่รู้จักมาก่อน และใช้ไซต์ WordPress ที่ถูกบุกรุกเพื่อปกปิดการเชื่อมต่อเซิร์ฟเวอร์ Command-and-Control (C2) ทำให้ยากต่อการตรวจจับ Wpeeper ทำงานเป็นไบนารีของ ELF และใช้ HTTPS เพื่อการสื่อสารที่ปลอดภัยกับเซิร์ฟเวอร์ C2
Wpeeper ทำหน้าที่เป็นโทรจันลับๆ มาตรฐานสำหรับ Android ช่วยให้สามารถทำกิจกรรมต่างๆ ได้ รวมถึงการรวบรวมข้อมูลอุปกรณ์ที่ละเอียดอ่อน การจัดการไฟล์และไดเร็กทอรี การถ่ายโอนไฟล์ (การอัปโหลดและดาวน์โหลด) และการดำเนินการคำสั่งระยะไกล
สารบัญ
มัลแวร์ Wpeeper ติดเชื้ออุปกรณ์ผ่านแอปพลิเคชัน Android ที่ถูกบุกรุก
ไบนารี ELF ที่ถูกบุกรุกถูกซ่อนอยู่ในเวอร์ชันแก้ไขของแอปพลิเคชัน UPtodown App Store สำหรับ Android (ชื่อแพ็คเกจ 'com.uptodown') โดยไฟล์ APK ทำหน้าที่เป็นพาหะสำหรับประตูหลัง ซึ่งออกแบบมาเพื่อหลีกเลี่ยงการตรวจพบ
การเลือกแอป Uptodown App Store สำหรับแคมเปญนี้บ่งบอกถึงความพยายามที่จะอำพรางตลาดแอปบุคคลที่สามที่ถูกต้องตามกฎหมาย และหลอกลวงผู้ใช้ที่ไม่สงสัยให้ติดตั้งแอปดังกล่าว ตามสถิติจาก Android-apk.org พบว่าแอปเวอร์ชันที่ถูกบุกรุก (5.92) ได้รับการดาวน์โหลดแล้ว 2,609 ครั้ง
มัลแวร์ Wpeeper ใช้สถาปัตยกรรมคำสั่งและการควบคุมที่ซับซ้อน
Wpeeper ใช้สถาปัตยกรรม C2 ที่ซับซ้อนซึ่งเกี่ยวข้องกับไซต์ WordPress ที่ติดไวรัสซึ่งทำหน้าที่เป็นตัวกลางในการทำให้เซิร์ฟเวอร์ C2 ของแท้สับสน มีการระบุเซิร์ฟเวอร์ C2 มากถึง 45 เซิร์ฟเวอร์ภายในโครงสร้างพื้นฐานนี้ โดยมีเก้าเซิร์ฟเวอร์ในนั้นฮาร์ดโค้ดลงในตัวอย่างเพื่ออัปเดตรายการ C2 แบบไดนามิก
เซิร์ฟเวอร์ฮาร์ดโค้ดเหล่านี้ไม่ใช่ C2 จริง แต่เป็นตัวเปลี่ยนเส้นทาง C2 จุดประสงค์ของพวกเขาคือการส่งต่อคำขอของบอทไปยัง C2 ของแท้ โดยมีจุดประสงค์เพื่อปกป้อง C2 ของแท้จากการตรวจจับ สิ่งนี้ยังทำให้เกิดความกังวลว่าผู้โจมตีอาจควบคุมเซิร์ฟเวอร์ฮาร์ดโค้ดบางตัวได้โดยตรง เนื่องจากมีความเสี่ยงที่จะสูญเสียการเข้าถึงบอตเน็ตหากผู้ดูแลไซต์ WordPress ตระหนักถึงการประนีประนอมและดำเนินการแก้ไข
ผู้โจมตีสามารถดำเนินการล่วงล้ำต่างๆ บนอุปกรณ์ที่ติดไวรัสได้
คำสั่งที่ได้รับจากเซิร์ฟเวอร์ C2 ช่วยให้มัลแวร์สามารถรวบรวมรายละเอียดอุปกรณ์และไฟล์ แสดงรายการแอปพลิเคชันที่ติดตั้ง อัปเดตเซิร์ฟเวอร์ C2 ดาวน์โหลดและเรียกใช้เพย์โหลดเพิ่มเติมจากเซิร์ฟเวอร์ C2 หรือ URL ที่ระบุ และลบออกด้วยตนเอง
วัตถุประสงค์และขอบเขตทั้งหมดของแคมเปญยังไม่ชัดเจนในขณะนี้ ยังคงมีข้อสงสัยว่ากลวิธีหลอกลวงนี้อาจถูกนำมาใช้เพื่อเพิ่มจำนวนการติดตั้งและเปิดเผยความสามารถของมัลแวร์ในเวลาต่อมา
เพื่อลดอันตรายที่เกิดจากมัลแวร์ดังกล่าว จำเป็นอย่างยิ่งที่จะต้องติดตั้งแอปจากแหล่งที่เชื่อถือได้โดยเฉพาะ และตรวจสอบการให้คะแนนและการอนุญาตของแอปพลิเคชันอย่างรอบคอบก่อนที่จะดาวน์โหลด
