Wpeeper Mobile -haittaohjelma
Tietoturva-analyytikot ovat löytäneet uudentyyppisiä haittaohjelmia Android-laitteille. Tämä Wpeeper-niminen haittaohjelma oli aiemmin tuntematon, ja se käyttää vaarantuneita WordPress-sivustoja peittämään Command-and-Control (C2) -palvelinyhteydet, mikä vaikeuttaa sen havaitsemista. Wpeeper toimii ELF-binaarina ja käyttää HTTPS:ää turvalliseen viestintään C2-palvelimiensa kanssa.
Wpeeper toimii tavallisena takaoven troijalaisena Androidille mahdollistaen erilaisia toimintoja, mukaan lukien arkaluontoisten laitetietojen keräämisen, tiedostojen ja hakemistojen hallinnan, tiedostojen siirrot (lataus ja lataaminen) ja etäkomentojen suorittamisen.
Sisällysluettelo
Wpeeper-haittaohjelma saastuttaa laitteet vaarantuneiden Android-sovellusten kautta
Vaurioitunut ELF-binaari on piilotettu Androidin UPtodown App Store -sovelluksen muokattuun versioon (paketin nimi "com.uptodown"), ja APK-tiedosto toimii takaoven kantajana, joka on suunniteltu estämään havaitseminen.
Uptodown App Store -sovelluksen valinta tähän kampanjaan viittaa yritykseen naamioida laillinen kolmannen osapuolen sovelluskauppa ja huijata hyväuskoisia käyttäjiä asentamaan se. Android-apk.org:n tilastojen mukaan sovelluksen vaarantunut versio (5.92) on ladattu tähän mennessä 2 609 kertaa.
Wpeeper-haittaohjelma käyttää monimutkaista komento- ja ohjausarkkitehtuuria
Wpeeper käyttää kehittynyttä C2-arkkitehtuuria, jossa tartunnan saaneet WordPress-sivustot toimivat välittäjinä, jotka hämärtävät sen aidot C2-palvelimet. Tässä infrastruktuurissa on tunnistettu jopa 45 C2-palvelinta, joista yhdeksän on kovakoodattu näytteisiin päivittämään C2-luettelo dynaamisesti.
Nämä kovakoodatut palvelimet eivät ole todellisia C2:ita, vaan C2-uudelleenohjaajia – niiden tarkoituksena on välittää botin pyynnöt autenttiselle C2:lle tarkoituksena suojata aito C2 havaitsemiselta. Tämä on myös herättänyt huolta siitä, että hyökkääjät voivat hallita suoraan joitain kovakoodattuja palvelimia, koska on olemassa vaara menettää pääsy bottiverkkoon, jos WordPress-sivuston ylläpitäjät huomaavat kompromissin ja ryhtyvät korjaaviin toimiin.
Hyökkääjät voivat suorittaa erilaisia tunkeilevia toimia tartunnan saaneilla laitteilla
C2-palvelimelta saadut komennot mahdollistavat haittaohjelman kerätä laite- ja tiedostotiedot, luetteloida asennetut sovellukset, päivittää C2-palvelimen, ladata ja suorittaa lisäkuormia C2-palvelimelta tai määritetystä URL-osoitteesta sekä poistaa itsensä.
Kampanjan tavoitteet ja laajuus ovat tällä hetkellä epäselviä. Silti epäillään, että tätä petollista taktiikkaa on saatettu käyttää asennuslukujen lisäämiseen ja myöhemmin haittaohjelman ominaisuuksien paljastamiseen.
Tällaisten haittaohjelmien aiheuttamien vaarojen minimoimiseksi on erittäin tärkeää asentaa sovelluksia vain hyvämaineisista lähteistä ja tarkistaa huolellisesti sovellusten luokitukset ja käyttöoikeudet ennen lataamista.
