Wpeeper Mobil Kötü Amaçlı Yazılım
Güvenlik analistleri Android cihazları hedef alan yeni bir kötü amaçlı yazılım türünü ortaya çıkardı. Wpeeper adlı bu kötü amaçlı yazılım, daha önce bilinmiyordu ve Komuta ve Kontrol (C2) sunucu bağlantılarını maskelemek için ele geçirilmiş WordPress siteleri kullanıyor ve bu da tespit edilmesini zorlaştırıyor. Wpeeper bir ELF ikili dosyası olarak çalışır ve C2 sunucularıyla güvenli iletişim için HTTPS'yi kullanır.
Wpeeper, Android için standart bir arka kapı Truva Atı olarak işlev görür ve hassas cihaz verilerinin toplanması, dosya ve dizin yönetimi, dosya aktarımları (yükleme ve indirme) ve uzaktan komut yürütme dahil olmak üzere çeşitli etkinliklere olanak tanır.
İçindekiler
Wpeeper Kötü Amaçlı Yazılımı, Güvenliği Tehlikeye Girmiş Android Uygulamaları Aracılığıyla Cihazlara Bulaşıyor
Ele geçirilen ELF ikili dosyası, Android için UPtodown App Store uygulamasının değiştirilmiş bir sürümünde (paket adı 'com.uptodown') gizleniyor ve APK dosyası, tespit edilmekten kaçınmak için arka kapı için bir taşıyıcı görevi görüyor.
Bu kampanya için Uptodown App Store uygulamasının seçilmesi, meşru bir üçüncü taraf uygulama pazarını kamufle etme ve şüphelenmeyen kullanıcıları bu uygulamayı yüklemeleri için kandırma çabasını akla getiriyor. Android-apk.org istatistiklerine göre uygulamanın ele geçirilen sürümü (5.92) şu ana kadar 2.609 kez indirildi.
Wpeeper Kötü Amaçlı Yazılımı Karmaşık Komuta ve Kontrol Mimarisini Kullanıyor
Wpeeper, orijinal C2 sunucularını gizlemek için aracı görevi gören virüslü WordPress sitelerini içeren gelişmiş bir C2 mimarisi kullanır. Bu altyapıda 45'e kadar C2 sunucusu belirlendi ve bunlardan dokuzu C2 listesini dinamik olarak güncellemek için örneklere sabit kodlandı.
Bu sabit kodlu sunucular gerçek C2'ler değil, C2 yeniden yönlendiricileridir; amaçları botun isteklerini orijinal C2'ye ileterek orijinal C2'yi tespit edilmekten korumaktır. Bu aynı zamanda saldırganların bazı sabit kodlu sunucuları doğrudan kontrol edebileceği endişesini de artırdı; çünkü WordPress site yöneticileri bu tehlikenin farkına varıp düzeltici önlem alırsa botnet'e erişimi kaybetme riski vardır.
Saldırganlar, Etkilenen Cihazlarda Çeşitli İzinsiz Eylemler Gerçekleştirebilir
C2 sunucusundan alınan komutlar, kötü amaçlı yazılımın cihaz ve dosya ayrıntılarını toplamasına, yüklü uygulamaları listelemesine, C2 sunucusunu güncellemesine, C2 sunucusundan veya belirli bir URL'den ek yükler indirip çalıştırmasına ve kendi kendini kaldırmasına olanak tanır.
Kampanyanın tam hedefleri ve kapsamı şu anda belirsizdir. Yine de bu aldatıcı taktiğin kurulum rakamlarını artırmak ve ardından kötü amaçlı yazılımın yeteneklerini ortaya çıkarmak için kullanılmış olabileceğine dair şüpheler var.
Bu tür kötü amaçlı yazılımların oluşturduğu tehlikeleri en aza indirmek için, uygulamaları yalnızca saygın kaynaklardan yüklemek ve indirmeden önce uygulama derecelendirmelerini ve izinlerini dikkatle incelemek çok önemlidir.
