البرمجيات الخبيثة Wpeeper موبايل

اكتشف محللو الأمن نوعًا جديدًا من البرامج الضارة التي تستهدف أجهزة Android. هذه البرمجيات الخبيثة، المسماة Wpeeper، لم تكن معروفة من قبل وتستخدم مواقع WordPress المخترقة لإخفاء اتصالات خادم القيادة والتحكم (C2)، مما يجعل اكتشافها أكثر صعوبة. يعمل Wpeeper كثنائي ELF ويستخدم HTTPS للاتصال الآمن مع خوادم C2 الخاصة به.

يعمل Wpeeper باعتباره حصان طروادة مستترًا قياسيًا لنظام Android، مما يتيح أنشطة متنوعة، بما في ذلك جمع بيانات الجهاز الحساسة، وإدارة الملفات والدليل، ونقل الملفات (التحميل والتنزيل)، وتنفيذ الأوامر عن بُعد.

تصيب البرامج الضارة Wpeeper الأجهزة عبر تطبيقات Android المخترقة

يتم إخفاء ملف ELF الثنائي المخترق ضمن نسخة معدلة من تطبيق UPtodown App Store لنظام Android (اسم الحزمة "com.uptodown")، حيث يعمل ملف APK كحامل للباب الخلفي، مصمم لتجنب اكتشافه.

يشير اختيار تطبيق Uptodown App Store لهذه الحملة إلى وجود جهد لتمويه سوق تطبيقات الطرف الثالث الشرعي وخداع المستخدمين المطمئنين لتثبيته. وفقًا لإحصائيات Android-apk.org، تم تنزيل الإصدار المخترق من التطبيق (5.92) 2609 مرة حتى الآن.

تستخدم البرامج الضارة Wpeeper بنية معقدة للتحكم والتحكم

يستخدم Wpeeper بنية C2 متطورة تتضمن مواقع WordPress المصابة التي تعمل كوسطاء للتعتيم على خوادم C2 الأصلية. تم تحديد ما يصل إلى 45 خادم C2 ضمن هذه البنية التحتية، مع تسعة منها تم ترميزها ضمن العينات لتحديث قائمة C2 ديناميكيًا.

هذه الخوادم ذات الترميز الثابت ليست خوادم C2 فعلية ولكنها أجهزة إعادة توجيه C2 - والغرض منها هو إعادة توجيه طلبات الروبوت إلى C2 الأصلي، بهدف حماية C2 الأصلي من الاكتشاف. وقد أثار هذا أيضًا مخاوف من أن المهاجمين قد يتحكمون بشكل مباشر في بعض الخوادم المشفرة، حيث يوجد خطر فقدان الوصول إلى شبكة الروبوتات إذا أصبح مسؤولو موقع WordPress على علم بالاختراق واتخذوا الإجراءات التصحيحية.

يمكن للمهاجمين تنفيذ إجراءات تدخلية مختلفة على الأجهزة المصابة

تعمل الأوامر الواردة من خادم C2 على تمكين البرامج الضارة من جمع تفاصيل الجهاز والملفات، وسرد التطبيقات المثبتة، وتحديث خادم C2، وتنزيل حمولات إضافية وتشغيلها من خادم C2 أو عنوان URL محدد، والإزالة الذاتية.

الأهداف الكاملة للحملة ونطاقها غير واضحة حاليًا. ومع ذلك، هناك شكوك في احتمال استخدام هذا التكتيك الخادع لتعزيز أرقام التثبيت ومن ثم كشف قدرات البرامج الضارة.

لتقليل المخاطر التي تشكلها هذه البرامج الضارة، من الضروري تثبيت التطبيقات حصريًا من مصادر حسنة السمعة ومراجعة تقييمات التطبيقات وأذوناتها بعناية قبل التنزيل.