Wpeeper Mobile'i pahavara
Turvaanalüütikud on avastanud uut tüüpi pahavara, mis on suunatud Android-seadmetele. See pahavara nimega Wpeeper oli varem tundmatu ja kasutab WordPressi ohustatud saite, et varjata oma Command-and-Control (C2) serveriühendusi, muutes selle tuvastamise raskemaks. Wpeeper töötab ELF-i kahendfailina ja kasutab HTTPS-i turvaliseks suhtluseks oma C2-serveritega.
Wpeeper toimib Androidi standardse tagaukse troojalasena, võimaldades erinevaid toiminguid, sealhulgas tundlike seadmeandmete kogumist, failide ja kataloogide haldamist, failide edastamist (üles- ja allalaadimist) ning kaugkäskude täitmist.
Sisukord
Wpeeperi pahavara nakatab seadmeid ohustatud Androidi rakenduste kaudu
Ohustatud ELF-i kahendfail on peidetud Androidi rakenduse UPtodown App Store muudetud versioonis (paketi nimi „com.uptodown”), kusjuures APK-fail toimib tagaukse kandjana, mis on loodud tuvastamise vältimiseks.
Selle kampaania jaoks Uptodown App Store'i rakenduse valik viitab jõupingutustele maskeerida seaduslik kolmanda osapoole rakenduste turg ja meelitada pahaaimamatuid kasutajaid seda installima. Android-apk.org statistika kohaselt on rakenduse ohustatud versiooni (5.92) seni alla laaditud 2609 korda.
Wpeeperi pahavara kasutab keerulist käsu- ja juhtimisarhitektuuri
Wpeeper kasutab keerukat C2-arhitektuuri, mis hõlmab nakatunud WordPressi saite, mis tegutsevad vahendajatena, et hägustada oma ehtsaid C2-servereid. Selles infrastruktuuris on tuvastatud kuni 45 C2-serverit, millest üheksa on C2-loendi dünaamiliseks värskendamiseks proovidesse kodeeritud.
Need kõvakoodiga serverid ei ole tegelikud C2-d, vaid C2-ümbersuunajad – nende eesmärk on edastada roboti päringud autentsele C2-le, eesmärgiga kaitsta ehtsat C2-d tuvastamise eest. See on tekitanud ka muret, et ründajad võivad mõnda kõvakoodiga serverit otse juhtida, kuna kui WordPressi saidi administraatorid saavad kompromissist teada ja võtavad parandusmeetmeid, on oht kaotada juurdepääs botnetile.
Ründajad saavad nakatunud seadmetes sooritada mitmesuguseid pealetükkivaid toiminguid
C2-serverist saadud käsud võimaldavad pahavaral koguda seadme ja faili üksikasju, loetleda installitud rakendusi, värskendada C2-serverit, laadida alla ja käivitada täiendavaid kasulikke koormusi C2-serverist või määratud URL-ist ning ise eemaldada.
Kampaania täielikud eesmärgid ja ulatus on praegu ebaselged. Siiski on kahtlusi, et seda petlikku taktikat võidi kasutada installimiste arvu suurendamiseks ja seejärel pahavara võimaluste paljastamiseks.
Sellise pahavara põhjustatud ohtude minimeerimiseks on ülioluline installida rakendused ainult usaldusväärsetest allikatest ning vaadata enne allalaadimist hoolikalt üle rakenduste hinnangud ja load.
