Κακόβουλο λογισμικό Wpeeper Mobile
Αναλυτές ασφαλείας ανακάλυψαν έναν νέο τύπο κακόβουλου λογισμικού που στοχεύει σε συσκευές Android. Αυτό το κακόβουλο λογισμικό, που ονομαζόταν Wpeeper, ήταν προηγουμένως άγνωστο και χρησιμοποιεί παραβιασμένους ιστότοπους WordPress για να κρύψει τις συνδέσεις διακομιστή Command-and-Control (C2), καθιστώντας τον πιο δύσκολο τον εντοπισμό του. Το Wpeeper λειτουργεί ως δυαδικό ELF και χρησιμοποιεί HTTPS για ασφαλή επικοινωνία με τους διακομιστές του C2.
Το Wpeeper λειτουργεί ως τυπικός Trojan backdoor για Android, επιτρέποντας διάφορες δραστηριότητες, όπως συλλογή ευαίσθητων δεδομένων συσκευής, διαχείριση αρχείων και καταλόγου, μεταφορά αρχείων (φόρτωση και λήψη) και απομακρυσμένη εκτέλεση εντολών.
Πίνακας περιεχομένων
Το κακόβουλο λογισμικό Wpeeper μολύνει συσκευές μέσω παραβιασμένων εφαρμογών Android
Το παραβιασμένο δυαδικό ELF είναι κρυμμένο σε μια τροποποιημένη έκδοση της εφαρμογής UPtodown App Store για Android (όνομα πακέτου 'com.uptodown'), με το αρχείο APK να χρησιμεύει ως φορέας για την κερκόπορτα, σχεδιασμένο για να αποφεύγεται ο εντοπισμός.
Η επιλογή της εφαρμογής Uptodown App Store για αυτήν την καμπάνια υποδηλώνει μια προσπάθεια καμουφλαρίσματος μιας νόμιμης αγοράς εφαρμογών τρίτων και εξαπάτησης ανυποψίαστων χρηστών να την εγκαταστήσουν. Σύμφωνα με στατιστικά στοιχεία του Android-apk.org, η παραβιασμένη έκδοση της εφαρμογής (5.92) έχει ληφθεί 2.609 φορές μέχρι στιγμής.
Το κακόβουλο λογισμικό Wpeeper χρησιμοποιεί σύνθετη αρχιτεκτονική εντολών και ελέγχου
Το Wpeeper χρησιμοποιεί μια εξελιγμένη αρχιτεκτονική C2 που περιλαμβάνει μολυσμένους ιστότοπους WordPress που ενεργούν ως μεσάζοντες για να θολώσουν τους γνήσιους διακομιστές του C2. Έως και 45 διακομιστές C2 έχουν εντοπιστεί σε αυτήν την υποδομή, με εννέα από αυτούς κωδικοποιημένους στα δείγματα για δυναμική ενημέρωση της λίστας C2.
Αυτοί οι διακομιστές με σκληρό κώδικα δεν είναι πραγματικοί C2 αλλά C2 ανακατευθυντές — σκοπός τους είναι να προωθήσουν τα αιτήματα του bot στο αυθεντικό C2, με στόχο να προστατεύσουν το γνήσιο C2 από τον εντοπισμό. Αυτό έχει επίσης δημιουργήσει την ανησυχία ότι οι εισβολείς ενδέχεται να ελέγχουν άμεσα ορισμένους από τους διακομιστές με σκληρό κώδικα, καθώς υπάρχει κίνδυνος απώλειας της πρόσβασης στο botnet εάν οι διαχειριστές του ιστότοπου WordPress αντιληφθούν τον συμβιβασμό και προβούν σε διορθωτικές ενέργειες.
Οι εισβολείς μπορούν να εκτελέσουν διάφορες παρεμβατικές ενέργειες σε μολυσμένες συσκευές
Οι εντολές που λαμβάνονται από τον διακομιστή C2 επιτρέπουν στο κακόβουλο λογισμικό να συλλέγει λεπτομέρειες συσκευής και αρχείου, να παραθέτει εγκατεστημένες εφαρμογές, να ενημερώνει τον διακομιστή C2, να κατεβάζει και να εκτελεί πρόσθετα ωφέλιμα φορτία από τον διακομιστή C2 ή μια καθορισμένη διεύθυνση URL και να καταργεί αυτόματα.
Οι πλήρεις στόχοι και το εύρος της εκστρατείας είναι προς το παρόν ασαφή. Ωστόσο, υπάρχουν υποψίες ότι αυτή η παραπλανητική τακτική μπορεί να έχει χρησιμοποιηθεί για να ενισχύσει τα στοιχεία εγκατάστασης και στη συνέχεια να εκθέσει τις δυνατότητες του κακόβουλου λογισμικού.
Για να ελαχιστοποιήσετε τους κινδύνους που εγκυμονεί τέτοιου είδους κακόβουλο λογισμικό, είναι σημαντικό να εγκαταστήσετε αποκλειστικά εφαρμογές από αξιόπιστες πηγές και να ελέγξετε προσεκτικά τις αξιολογήσεις και τις άδειες εφαρμογών πριν από τη λήψη.
