Malware mobile Wpeeper
Gli analisti della sicurezza hanno scoperto un nuovo tipo di malware rivolto ai dispositivi Android. Questo malware, denominato Wpeeper, era precedentemente sconosciuto e utilizza siti WordPress compromessi per mascherare le connessioni al server Command-and-Control (C2), rendendolo più difficile da rilevare. Wpeeper funziona come binario ELF e utilizza HTTPS per comunicazioni sicure con i suoi server C2.
Wpeeper funziona come un trojan backdoor standard per Android, consentendo varie attività, tra cui la raccolta di dati sensibili del dispositivo, la gestione di file e directory, il trasferimento di file (caricamento e download) e l'esecuzione di comandi remoti.
Sommario
Il malware Wpeeper infetta i dispositivi tramite applicazioni Android compromesse
Il binario ELF compromesso è nascosto all'interno di una versione modificata dell'applicazione UPtodown App Store per Android (nome del pacchetto "com.uptodown"), con il file APK che funge da vettore per la backdoor, progettata per evitare il rilevamento.
La scelta dell'app Uptodown App Store per questa campagna suggerisce un tentativo di camuffare un legittimo mercato di app di terze parti e ingannare gli utenti ignari inducendoli a installarlo. Secondo le statistiche di Android-apk.org, la versione compromessa dell'app (5.92) è stata scaricata finora 2.609 volte.
Il malware Wpeeper utilizza una complessa architettura di comando e controllo
Wpeeper utilizza una sofisticata architettura C2 che coinvolge i siti WordPress infetti che fungono da intermediari per offuscare i suoi server C2 autentici. All'interno di questa infrastruttura sono stati identificati fino a 45 server C2, nove dei quali codificati negli esempi per aggiornare dinamicamente l'elenco C2.
Questi server hardcoded non sono C2 reali ma reindirizzatori C2: il loro scopo è inoltrare le richieste del bot al C2 autentico, con l'obiettivo di proteggere il C2 autentico dal rilevamento. Ciò ha anche sollevato la preoccupazione che gli aggressori possano controllare direttamente alcuni dei server hardcoded, poiché esiste il rischio di perdere l'accesso alla botnet se gli amministratori del sito WordPress vengono a conoscenza della compromissione e intraprendono azioni correttive.
Gli aggressori possono eseguire varie azioni invasive sui dispositivi infetti
I comandi ricevuti dal server C2 consentono al malware di raccogliere dettagli sul dispositivo e sui file, elencare le applicazioni installate, aggiornare il server C2, scaricare ed eseguire payload aggiuntivi dal server C2 o da un URL specificato e rimuoversi automaticamente.
Gli obiettivi completi e la portata della campagna non sono attualmente chiari. Tuttavia, vi è il sospetto che questa tattica ingannevole possa essere stata utilizzata per aumentare le cifre di installazione e successivamente smascherare le capacità del malware.
Per ridurre al minimo i pericoli posti da tale malware, è fondamentale installare esclusivamente app da fonti affidabili ed esaminare attentamente le classificazioni e le autorizzazioni delle applicazioni prima di scaricarle.
