Programari maliciós mòbil Wpeeper
Els analistes de seguretat han descobert un nou tipus de programari maliciós dirigit a dispositius Android. Aquest programari maliciós, anomenat Wpeeper, era desconegut anteriorment i utilitza llocs de WordPress compromesos per emmascarar les seves connexions al servidor Command-and-Control (C2), cosa que fa que sigui més difícil de detectar. Wpeeper funciona com un binari ELF i utilitza HTTPS per a una comunicació segura amb els seus servidors C2.
Wpeeper funciona com un troià de porta posterior estàndard per a Android, que permet diverses activitats, com ara la recopilació de dades sensibles del dispositiu, la gestió de fitxers i directoris, la transferència de fitxers (càrrega i descàrrega) i l'execució de comandaments remots.
Taula de continguts
El programari maliciós Wpeeper infecta els dispositius mitjançant aplicacions Android compromeses
El binari ELF compromès s'amaga dins d'una versió modificada de l'aplicació UPtodown App Store per a Android (nom del paquet "com.uptodown"), amb el fitxer APK que serveix com a suport per a la porta del darrere, dissenyat per evitar la detecció.
L'elecció de l'aplicació Uptodown App Store per a aquesta campanya suggereix un esforç per camuflar un mercat legítim d'aplicacions de tercers i enganyar els usuaris desprevinguts perquè l'instal·lin. Segons les estadístiques d'Android-apk.org, la versió compromesa de l'aplicació (5.92) s'ha descarregat 2.609 vegades fins ara.
El programari maliciós Wpeeper utilitza una arquitectura complexa d'ordres i control
Wpeeper utilitza una arquitectura C2 sofisticada que implica llocs de WordPress infectats que actuen com a intermediaris per ofuscar els seus servidors C2 genuïns. S'han identificat fins a 45 servidors C2 dins d'aquesta infraestructura, amb nou d'ells codificats a les mostres per actualitzar dinàmicament la llista C2.
Aquests servidors codificats no són C2 reals, sinó redirectors C2: el seu propòsit és reenviar les sol·licituds del bot al C2 autèntic, amb l'objectiu de protegir el C2 genuí de la detecció. Això també ha generat la preocupació que els atacants puguin controlar directament alguns dels servidors codificats, ja que hi ha el risc de perdre l'accés a la botnet si els administradors del lloc de WordPress s'adonen del compromís i prenen mesures correctores.
Els atacants poden dur a terme diverses accions intrusives en dispositius infectats
Les ordres rebudes del servidor C2 permeten que el programari maliciós reuneix detalls del dispositiu i del fitxer, enumere les aplicacions instal·lades, actualitzeu el servidor C2, baixi i executi càrregues útils addicionals des del servidor C2 o d'un URL especificat i s'elimini automàticament.
Els objectius i l'abast complet de la campanya no estan clars actualment. Tot i així, hi ha sospites que aquesta tàctica enganyosa podria haver estat emprada per augmentar les xifres d'instal·lació i, posteriorment, exposar les capacitats del programari maliciós.
Per minimitzar els perills que suposa aquest programari maliciós, és fonamental instal·lar exclusivament aplicacions de fonts acreditades i revisar acuradament les classificacions i els permisos de les aplicacions abans de baixar-les.
