Wpeeper Mobile Malware
Os analistas de segurança descobriram um novo tipo de malware direcionado aos dispositivos Android. Este malware, denominado Wpeeper, era anteriormente desconhecido e emprega sites WordPress comprometidos para mascarar suas conexões de servidor de Comando e Controle (C2), tornando-o mais difícil de detectar. Wpeeper opera como um binário ELF e utiliza HTTPS para comunicação segura com seus servidores C2.
O Wpeeper funciona como um Trojan backdoor padrão para Android, permitindo diversas atividades, incluindo coleta de dados confidenciais do dispositivo, gerenciamento de arquivos e diretórios, transferências de arquivos (upload e download) e execução remota de comandos.
Índice
O Wpeeper Malware Infecta Dispositivos por Meio de Aplicativos Android Comprometidos
O binário ELF comprometido está oculto em uma versão modificada do aplicativo UPtodown App Store para Android (nome do pacote 'com.uptodown'), com o arquivo APK servindo como portador para o backdoor, projetado para evitar a detecção.
A escolha do aplicativo Uptodown App Store para esta campanha sugere um esforço para camuflar um mercado legítimo de aplicativos de terceiros e enganar usuários desavisados para que o instalem. De acordo com estatísticas do Android-apk.org, a versão comprometida do aplicativo (5.92) foi baixada 2.609 vezes até agora.
O Wpeeper Malware Utiliza uma Complexa Arquitetura de Comando e Controle
O Wpeeper emprega uma arquitetura C2 sofisticada que envolve sites WordPress infectados agindo como intermediários para ofuscar seus servidores C2 genuínos. Até 45 servidores C2 foram identificados nesta infraestrutura, com nove deles codificados nas amostras para atualizar dinamicamente a lista C2.
Esses servidores codificados não são C2s reais, mas redirecionadores C2 — seu objetivo é encaminhar as solicitações do bot para o C2 autêntico, com o objetivo de proteger o C2 genuíno contra detecção. Isto também levantou a preocupação de que os invasores possam controlar diretamente alguns dos servidores codificados, pois existe o risco de perder acesso à botnet se os administradores do site WordPress tomarem conhecimento do comprometimento e tomarem medidas corretivas.
Os Invasores podem Realizar Várias Ações Intrusivas nos Dispositivos Infectados
Os comandos recebidos do servidor C2 permitem que o malware colete detalhes de dispositivos e arquivos, liste aplicativos instalados, atualize o servidor C2, baixe e execute cargas adicionais do servidor C2 ou de um URL especificado e remova-o automaticamente.
Os objectivos completos e o âmbito da campanha não são actualmente claros. Ainda assim, há suspeitas de que esta tática enganosa pode ter sido empregada para aumentar os números de instalação e subsequentemente expor as capacidades do malware.
Para minimizar os perigos representados por esse tipo de malware, é crucial instalar exclusivamente aplicativos de fontes confiáveis e revisar cuidadosamente as classificações e permissões dos aplicativos antes de baixá-los.
