Wpeeper Mobile תוכנה זדונית
מנתחי אבטחה חשפו סוג חדש של תוכנות זדוניות המיועדות למכשירי אנדרואיד. תוכנה זדונית זו, ששמה Wpeeper, לא הייתה ידועה בעבר והיא משתמשת באתרי וורדפרס שנפגעו כדי להסוות את חיבורי שרת ה-Command-and-Control (C2), מה שמקשה על זיהויו. Wpeeper פועלת כ-ELF בינארי ומשתמשת ב-HTTPS לתקשורת מאובטחת עם שרתי ה-C2 שלה.
Wpeeper מתפקד כטרויאני סטנדרטי בדלת אחורית לאנדרואיד, ומאפשר פעילויות שונות, כולל איסוף נתוני מכשיר רגישים, ניהול קבצים וספריות, העברות קבצים (העלאה והורדה) וביצוע פקודות מרחוק.
תוכן העניינים
התוכנה הזדונית של Wpeeper מדביקה מכשירים באמצעות יישומי אנדרואיד שנפגעו
ה-ELF הבינארי שנפרץ מוסתר בתוך גרסה שונה של אפליקציית UPtodown App Store עבור אנדרואיד (שם החבילה 'com.uptodown'), כאשר קובץ ה-APK משמש כספק לדלת האחורית, שנועד למנוע זיהוי.
הבחירה באפליקציית Uptodown App Store עבור מסע פרסום זה מעידה על מאמץ להסוות שוק אפליקציות לגיטימי של צד שלישי ולהונות משתמשים תמימים להתקין אותו. לפי הסטטיסטיקה של Android-apk.org, הגרסה שנפרצה של האפליקציה (5.92) הורדה עד כה 2,609 פעמים.
התוכנה הזדונית של Wpeeper משתמשת בארכיטקטורת פיקוד ובקרה מורכבת
Wpeeper משתמש בארכיטקטורת C2 מתוחכמת הכוללת אתרי וורדפרס נגועים הפועלים כמתווכים כדי לטשטש את שרתי ה-C2 האמיתיים שלה. עד 45 שרתי C2 זוהו בתוך תשתית זו, כאשר תשעה מהם מקודדים בקוד קשה לתוך הדגימות כדי לעדכן באופן דינמי את רשימת C2.
השרתים המקודדים האלה אינם C2s בפועל אלא מפנים מחדש של C2 - מטרתם להעביר את הבקשות של הבוט ל-C2 האותנטי, במטרה להגן על ה-C2 המקורי מזיהוי. זה גם העלה את החשש שהתוקפים עלולים לשלוט ישירות בחלק מהשרתים המקודדים, שכן קיים סיכון לאובדן גישה ל-botnet אם מנהלי אתרי וורדפרס יהיו מודעים לפשרה וינקטו בפעולה מתקנת.
תוקפים יכולים לבצע פעולות פולשניות שונות במכשירים נגועים
פקודות המתקבלות משרת C2 מאפשרות לתוכנה הזדונית לאסוף פרטי מכשיר וקבצים, לרשום יישומים מותקנים, לעדכן את שרת C2, להוריד ולהפעיל מטענים נוספים משרת C2 או מכתובת URL שצוינה, ולהסרה עצמית.
היעדים המלאים והיקפו של הקמפיין אינם ברורים כרגע. ובכל זאת, ישנם חשדות שייתכן שהטקטיקה המטעה הזו נוצלה כדי להגביר את נתוני ההתקנה ולאחר מכן לחשוף את יכולות התוכנה הזדונית.
כדי למזער את הסכנות הכרוכות בתוכנה זדונית כזו, חיוני להתקין אפליקציות ממקורות מוכרים באופן בלעדי ולבדוק בקפידה את דירוגי האפליקציות וההרשאות לפני ההורדה.
