Wpeeper Mobile ļaunprātīga programmatūra
Drošības analītiķi ir atklājuši jauna veida ļaunprātīgu programmatūru, kas paredzēta Android ierīcēm. Šī ļaunprogrammatūra ar nosaukumu Wpeeper iepriekš nebija zināma, un tajā tiek izmantotas uzlauztas WordPress vietnes, lai maskētu tās Command-and-Control (C2) servera savienojumus, padarot to grūtāk atklāt. Wpeeper darbojas kā ELF binārs un izmanto HTTPS drošai saziņai ar saviem C2 serveriem.
Wpeeper darbojas kā standarta aizmugures Trojas zirgs operētājsistēmai Android, nodrošinot dažādas darbības, tostarp sensitīvu ierīces datu apkopošanu, failu un direktoriju pārvaldību, failu pārsūtīšanu (augšupielāde un lejupielāde) un attālo komandu izpildi.
Satura rādītājs
Wpeeper ļaunprātīga programmatūra inficē ierīces, izmantojot apdraudētas Android lietojumprogrammas
Kompromitētais ELF binārs ir paslēpts modificētajā Android lietojumprogrammas UPtodown App Store versijā (pakotnes nosaukums “com.uptodown”), un APK fails kalpo kā aizmugures durvju nesējs, kas paredzēts, lai izvairītos no atklāšanas.
Lietotnes Uptodown App Store izvēle šai kampaņai liecina par centieniem maskēt likumīgu trešās puses lietotņu tirgu un maldināt nenojaušos lietotājus to instalēt. Saskaņā ar Android-apk.org statistiku, lietotnes apdraudētā versija (5.92) līdz šim ir lejupielādēta 2609 reizes.
Wpeeper ļaunprogrammatūra izmanto sarežģītu komandu un kontroles arhitektūru
Wpeeper izmanto izsmalcinātu C2 arhitektūru, kas ietver inficētās WordPress vietnes, kas darbojas kā starpnieki, lai aptumšotu tā oriģinālos C2 serverus. Šajā infrastruktūrā ir identificēti līdz 45 C2 serveriem, no kuriem deviņi ir iekodēti paraugos, lai dinamiski atjauninātu C2 sarakstu.
Šie cietie kodētie serveri nav īsti C2, bet gan C2 novirzītāji — to mērķis ir pārsūtīt robota pieprasījumus uz autentisko C2, lai aizsargātu oriģinālo C2 no atklāšanas. Tas arī radījis bažas, ka uzbrucēji var tieši kontrolēt dažus cietā koda serverus, jo pastāv risks zaudēt piekļuvi robottīklam, ja WordPress vietņu administratori uzzinās par kompromisu un veiks koriģējošas darbības.
Uzbrucēji inficētajās ierīcēs var veikt dažādas uzmācīgas darbības
Komandas, kas saņemtas no C2 servera, ļauj ļaunprogrammatūrai apkopot informāciju par ierīci un failu, uzskaitīt instalētās lietojumprogrammas, atjaunināt C2 serveri, lejupielādēt un palaist papildu slodzes no C2 servera vai norādīta URL, kā arī pašai noņemt.
Kampaņas pilnie mērķi un darbības joma pašlaik nav skaidri. Tomēr pastāv aizdomas, ka šī maldinošā taktika varētu būt izmantota, lai palielinātu instalēšanas skaitu un pēc tam atklātu ļaunprātīgas programmatūras iespējas.
Lai samazinātu šādas ļaunprātīgas programmatūras radītās briesmas, ir ļoti svarīgi pirms lejupielādes instalēt lietotnes tikai no cienījamiem avotiem un rūpīgi pārskatīt lietojumprogrammu vērtējumus un atļaujas.
