Wpeeper Mobile Malware
Analiștii de securitate au descoperit un nou tip de malware destinat dispozitivelor Android. Acest malware, numit Wpeeper, era necunoscut anterior și folosește site-uri WordPress compromise pentru a-și masca conexiunile la serverul Command-and-Control (C2), făcându-l mai greu de detectat. Wpeeper funcționează ca un binar ELF și utilizează HTTPS pentru comunicarea securizată cu serverele sale C2.
Wpeeper funcționează ca un troian backdoor standard pentru Android, permițând diverse activități, inclusiv colectarea de date sensibile ale dispozitivului, gestionarea fișierelor și a directoarelor, transferurile de fișiere (încărcare și descărcare) și execuția comenzilor de la distanță.
Cuprins
Programul malware Wpeeper infectează dispozitivele prin intermediul aplicațiilor Android compromise
Binarul ELF compromis este ascuns într-o versiune modificată a aplicației UPtodown App Store pentru Android (numele pachetului „com.uptodown”), fișierul APK servind ca suport pentru ușa din spate, conceput pentru a evita detectarea.
Alegerea aplicației Uptodown App Store pentru această campanie sugerează un efort de a camufla o piață legitimă de aplicații terță parte și de a înșela utilizatorii nebănuiți să o instaleze. Conform statisticilor de la Android-apk.org, versiunea compromisă a aplicației (5.92) a fost descărcată de 2.609 de ori până acum.
Programul malware Wpeeper utilizează o arhitectură complexă de comandă și control
Wpeeper folosește o arhitectură C2 sofisticată care implică site-uri WordPress infectate care acționează ca intermediari pentru a-și ofusca serverele C2 autentice. Până la 45 de servere C2 au fost identificate în cadrul acestei infrastructuri, nouă dintre ele codificate în eșantioane pentru a actualiza în mod dinamic lista C2.
Aceste servere codificate nu sunt C2 reale, ci redirectoare C2 - scopul lor este de a transmite cererile bot-ului către C2 autentic, cu scopul de a proteja C2 autentic de detectare. Acest lucru a ridicat, de asemenea, îngrijorarea că atacatorii pot controla direct unele dintre serverele codificate, deoarece există riscul de a pierde accesul la rețeaua bot dacă administratorii site-ului WordPress devin conștienți de compromis și iau măsuri corective.
Atacatorii pot efectua diverse acțiuni intruzive pe dispozitivele infectate
Comenzile primite de la serverul C2 permit malware-ului să adune detalii despre dispozitiv și fișier, să enumere aplicațiile instalate, să actualizeze serverul C2, să descarce și să ruleze încărcături suplimentare de pe serverul C2 sau de la o adresă URL specificată și să se autoelimine.
Obiectivele și domeniul de aplicare complet al campaniei sunt momentan neclare. Totuși, există suspiciuni că această tactică înșelătoare ar fi putut fi folosită pentru a crește cifrele de instalare și, ulterior, pentru a expune capacitățile malware-ului.
Pentru a minimiza pericolele prezentate de astfel de programe malware, este esențial să instalați exclusiv aplicații din surse de renume și să revizuiți cu atenție evaluările și permisiunile aplicațiilor înainte de a descărca.
