Perisian Hasad Mudah Alih Wpeeper
Penganalisis keselamatan telah menemui jenis perisian hasad baharu yang ditujukan kepada peranti Android. Malware ini, bernama Wpeeper, sebelum ini tidak diketahui dan menggunakan tapak WordPress yang terjejas untuk menutup sambungan pelayan Command-and-Control (C2), menjadikannya lebih sukar untuk dikesan. Wpeeper beroperasi sebagai binari ELF dan menggunakan HTTPS untuk komunikasi selamat dengan pelayan C2nya.
Wpeeper berfungsi sebagai Trojan pintu belakang standard untuk Android, membolehkan pelbagai aktiviti, termasuk mengumpul data peranti sensitif, pengurusan fail dan direktori, pemindahan fail (memuat naik dan memuat turun), dan pelaksanaan arahan jauh.
Isi kandungan
Perisian Hasad Wpeeper Menjangkiti Peranti melalui Aplikasi Android Yang Dikompromi
Perduaan ELF yang terjejas disembunyikan dalam versi diubah suai aplikasi UPtodown App Store untuk Android (nama pakej 'com.uptodown'), dengan fail APK berfungsi sebagai pembawa untuk pintu belakang, direka untuk mengelakkan pengesanan.
Pilihan apl Uptodown App Store untuk kempen ini mencadangkan usaha untuk menyamarkan pasaran apl pihak ketiga yang sah dan memperdaya pengguna yang tidak curiga untuk memasangnya. Menurut statistik daripada Android-apk.org, versi apl yang terjejas (5.92) telah dimuat turun sebanyak 2,609 kali setakat ini.
Perisian Hasad Wpeeper Menggunakan Seni Bina Perintah-dan-Kawalan yang Kompleks
Wpeeper menggunakan seni bina C2 yang canggih yang melibatkan tapak WordPress yang dijangkiti bertindak sebagai perantara untuk mengelirukan pelayan C2 tulennya. Sehingga 45 pelayan C2 telah dikenal pasti dalam infrastruktur ini, dengan sembilan daripadanya dikodkan ke dalam sampel untuk mengemas kini senarai C2 secara dinamik.
Pelayan berkod keras ini bukan C2 sebenar tetapi pengarah semula C2 — tujuan mereka adalah untuk memajukan permintaan bot kepada C2 tulen, bertujuan untuk melindungi C2 tulen daripada pengesanan. Ini juga telah menimbulkan kebimbangan bahawa penyerang boleh mengawal secara langsung beberapa pelayan berkod keras, kerana terdapat risiko kehilangan akses kepada botnet jika pentadbir tapak WordPress menyedari kompromi dan mengambil tindakan pembetulan.
Penyerang boleh Melakukan Pelbagai Tindakan Menceroboh pada Peranti Yang Dijangkiti
Perintah yang diterima daripada pelayan C2 membolehkan perisian hasad mengumpulkan butiran peranti dan fail, menyenaraikan aplikasi yang dipasang, mengemas kini pelayan C2, memuat turun dan menjalankan muatan tambahan daripada pelayan C2 atau URL yang ditentukan dan mengalih keluar sendiri.
Objektif dan skop penuh kempen pada masa ini tidak jelas. Namun, terdapat syak wasangka bahawa taktik menipu ini mungkin telah digunakan untuk meningkatkan angka pemasangan dan seterusnya mendedahkan keupayaan perisian hasad.
Untuk meminimumkan bahaya yang ditimbulkan oleh perisian hasad sedemikian, adalah penting untuk memasang apl secara eksklusif daripada sumber yang bereputasi dan menyemak penilaian dan kebenaran aplikasi dengan teliti sebelum memuat turun.
