Wpeeper Mobile Malware
Sikkerhedsanalytikere har fundet en ny type malware rettet mod Android-enheder. Denne malware, kaldet Wpeeper, var tidligere ukendt og anvender kompromitterede WordPress-websteder til at maskere dens Command-and-Control (C2) serverforbindelser, hvilket gør det sværere at opdage. Wpeeper fungerer som en ELF-binær og bruger HTTPS til sikker kommunikation med sine C2-servere.
Wpeeper fungerer som en standard bagdørs-trojaner til Android, der muliggør forskellige aktiviteter, herunder indsamling af følsomme enhedsdata, fil- og biblioteksstyring, filoverførsler (upload og download) og fjernudførelse af kommandoer.
Indholdsfortegnelse
Wpeeper-malwaren inficerer enheder via kompromitterede Android-applikationer
Den kompromitterede ELF-binære er skjult i en modificeret version af UPtodown App Store-applikationen til Android (pakkenavn 'com.uptodown'), hvor APK-filen fungerer som en bærer for bagdøren, designet til at undgå registrering.
Valget af Uptodown App Store-appen til denne kampagne antyder et forsøg på at camouflere en legitim tredjeparts app-markedsplads og bedrage intetanende brugere til at installere den. Ifølge statistikker fra Android-apk.org er den kompromitterede version af appen (5.92) blevet downloadet 2.609 gange indtil videre.
Wpeeper-malwaren bruger kompleks kommando-og-kontrol-arkitektur
Wpeeper anvender en sofistikeret C2-arkitektur, der involverer inficerede WordPress-websteder, der fungerer som mellemmænd for at sløre dets ægte C2-servere. Op til 45 C2-servere er blevet identificeret i denne infrastruktur, hvoraf ni af dem er hårdkodet i prøverne for dynamisk at opdatere C2-listen.
Disse hårdkodede servere er ikke egentlige C2'er, men C2-omdirigerere - deres formål er at videresende botens anmodninger til den autentiske C2, med det formål at beskytte den ægte C2 fra detektion. Dette har også givet anledning til bekymring for, at angriberne direkte kan kontrollere nogle af de hårdkodede servere, da der er risiko for at miste adgangen til botnettet, hvis WordPress-webstedsadministratorer bliver opmærksomme på kompromiset og træffer korrigerende handlinger.
Angribere kan udføre forskellige påtrængende handlinger på inficerede enheder
Kommandoer modtaget fra C2-serveren gør det muligt for malwaren at indsamle enheds- og fildetaljer, liste installerede applikationer, opdatere C2-serveren, downloade og køre yderligere nyttelast fra C2-serveren eller en specificeret URL og selvfjerne.
Kampagnens fulde mål og omfang er i øjeblikket uklare. Alligevel er der mistanke om, at denne vildledende taktik kan være blevet brugt til at øge installationstal og efterfølgende afsløre malwarens muligheder.
For at minimere de farer, som sådan malware udgør, er det afgørende udelukkende at installere apps fra velrenommerede kilder og omhyggeligt at gennemgå applikationsvurderinger og tilladelser, før du downloader.
