Wpeeper mobil skadelig programvare
Sikkerhetsanalytikere har avdekket en ny type skadelig programvare rettet mot Android-enheter. Denne skadelige programvaren, kalt Wpeeper, var tidligere ukjent og bruker kompromitterte WordPress-nettsteder for å maskere sine Command-and-Control (C2) serverforbindelser, noe som gjør det vanskeligere å oppdage. Wpeeper fungerer som en ELF-binær og bruker HTTPS for sikker kommunikasjon med sine C2-servere.
Wpeeper fungerer som en standard bakdørstrojaner for Android, som muliggjør ulike aktiviteter, inkludert innsamling av sensitive enhetsdata, fil- og katalogadministrasjon, filoverføringer (opplasting og nedlasting) og ekstern kjøring av kommandoer.
Innholdsfortegnelse
Wpeeper-malware infiserer enheter via kompromitterte Android-applikasjoner
Den kompromitterte ELF-binærfilen er skjult i en modifisert versjon av UPtodown App Store-applikasjonen for Android (pakkenavn 'com.uptodown'), med APK-filen som tjener som bærer for bakdøren, designet for å unngå oppdagelse.
Valget av Uptodown App Store-appen for denne kampanjen antyder et forsøk på å kamuflere en legitim tredjeparts appmarkedsplass og lure intetanende brukere til å installere den. Ifølge statistikk fra Android-apk.org har den kompromitterte versjonen av appen (5.92) blitt lastet ned 2609 ganger så langt.
Wpeeper-malwaren bruker kompleks kommando-og-kontroll-arkitektur
Wpeeper bruker en sofistikert C2-arkitektur som involverer infiserte WordPress-nettsteder som fungerer som mellomledd for å tilsløre deres ekte C2-servere. Opptil 45 C2-servere er identifisert i denne infrastrukturen, med ni av dem hardkodet inn i prøvene for å dynamisk oppdatere C2-listen.
Disse hardkodede serverne er ikke faktiske C2-er, men C2-omdirigerere - deres formål er å videresende botens forespørsler til den autentiske C2, med sikte på å skjerme den ekte C2-en fra deteksjon. Dette har også reist bekymring for at angriperne direkte kan kontrollere noen av de hardkodede serverne, da det er en risiko for å miste tilgangen til botnettet hvis WordPress-nettstedsadministratorer blir klar over kompromisset og iverksetter korrigerende tiltak.
Angripere kan utføre forskjellige påtrengende handlinger på infiserte enheter
Kommandoer mottatt fra C2-serveren gjør det mulig for skadelig programvare å samle enhets- og fildetaljer, liste installerte applikasjoner, oppdatere C2-serveren, laste ned og kjøre ytterligere nyttelast fra C2-serveren eller en spesifisert URL, og selvfjerne.
De fullstendige målene og omfanget av kampanjen er foreløpig uklare. Likevel er det mistanker om at denne villedende taktikken kan ha blitt brukt for å øke installasjonstallene og deretter avsløre ondsinnets evner.
For å minimere farene som slik skadevare utgjør, er det avgjørende å utelukkende installere apper fra anerkjente kilder og nøye gjennomgå applikasjonsvurderinger og tillatelser før nedlasting.
