Мобильное вредоносное ПО Wpeeper
Аналитики безопасности обнаружили новый тип вредоносного ПО, нацеленного на устройства Android. Это вредоносное ПО под названием Wpeeper ранее было неизвестно и использует скомпрометированные сайты WordPress для маскировки подключений к серверу управления и контроля (C2), что затрудняет его обнаружение. Wpeeper работает как двоичный файл ELF и использует HTTPS для безопасной связи со своими серверами C2.
Wpeeper функционирует как стандартный троян-бэкдор для Android, позволяющий выполнять различные действия, включая сбор конфиденциальных данных устройства, управление файлами и каталогами, передачу файлов (загрузку и загрузку) и удаленное выполнение команд.
Оглавление
Вредоносная программа Wpeeper заражает устройства через взломанные приложения Android
Скомпрометированный двоичный файл ELF скрыт в модифицированной версии приложения UPtodown App Store для Android (название пакета «com.uptodown»), а APK-файл служит носителем для бэкдора, предназначенного для предотвращения обнаружения.
Выбор приложения Uptodown App Store для этой кампании предполагает попытку замаскировать законный сторонний рынок приложений и обманом заставить ничего не подозревающих пользователей установить его. По статистике Android-apk.org, скомпрометированную версию приложения (5.92) на данный момент скачали 2609 раз.
Вредоносная программа Wpeeper использует сложную архитектуру управления и контроля
Wpeeper использует сложную архитектуру C2, в которой зараженные сайты WordPress выступают в качестве посредников для маскировки подлинных серверов C2. В этой инфраструктуре было обнаружено до 45 серверов C2, девять из которых жестко закодированы в образцах для динамического обновления списка C2.
Эти жестко запрограммированные серверы являются не настоящими C2, а перенаправителями C2 — их цель — перенаправлять запросы бота на подлинный C2, стремясь защитить подлинный C2 от обнаружения. Это также вызвало обеспокоенность тем, что злоумышленники могут напрямую контролировать некоторые из жестко закодированных серверов, поскольку существует риск потери доступа к ботнету, если администраторы сайта WordPress узнают о компрометации и предпримут корректирующие действия.
Злоумышленники могут выполнять различные интрузивные действия на зараженных устройствах
Команды, полученные от сервера C2, позволяют вредоносному ПО собирать сведения об устройстве и файлах, составлять список установленных приложений, обновлять сервер C2, загружать и запускать дополнительные полезные данные с сервера C2 или по указанному URL-адресу, а также самостоятельно удаляться.
Полные цели и масштабы кампании в настоящее время неясны. Тем не менее, есть подозрения, что эта обманная тактика могла быть использована для увеличения количества установок и последующего раскрытия возможностей вредоносного ПО.
Чтобы свести к минимуму опасность, которую представляют такие вредоносные программы, крайне важно устанавливать приложения исключительно из надежных источников и тщательно проверять рейтинги и разрешения приложений перед загрузкой.
