Wpeeper Mobile Malware
Bezpečnostní analytici objavili nový typ malvéru zameraného na zariadenia so systémom Android. Tento malvér s názvom Wpeeper bol predtým neznámy a využíva napadnuté stránky WordPress na maskovanie svojich serverových spojení Command-and-Control (C2), čo sťažuje jeho odhalenie. Wpeeper funguje ako binárny ELF a využíva HTTPS na zabezpečenú komunikáciu so svojimi C2 servermi.
Wpeeper funguje ako štandardný backdoor trójsky kôň pre Android, ktorý umožňuje rôzne aktivity vrátane zhromažďovania citlivých údajov o zariadení, správy súborov a adresárov, prenosu súborov (nahrávanie a sťahovanie) a vzdialeného vykonávania príkazov.
Obsah
Wpeeper Malware infikuje zariadenia prostredníctvom kompromitovaných aplikácií pre Android
Kompromitovaný binárny súbor ELF je ukrytý v upravenej verzii aplikácie UPtodown App Store pre Android (názov balíka „com.uptodown“), pričom súbor APK slúži ako nosič pre zadné vrátka, aby sa zabránilo odhaleniu.
Výber aplikácie Uptodown App Store pre túto kampaň naznačuje snahu zamaskovať legitímny trh s aplikáciami tretej strany a oklamať nič netušiacich používateľov, aby si ju nainštalovali. Podľa štatistík Android-apk.org bola napadnutá verzia aplikácie (5.92) doteraz stiahnutá 2 609-krát.
Malvér Wpeeper využíva komplexnú architektúru príkazov a ovládania
Wpeeper využíva sofistikovanú architektúru C2, ktorá zahŕňa infikované stránky WordPress, ktoré pôsobia ako sprostredkovatelia na zahmlievanie svojich skutočných serverov C2. V rámci tejto infraštruktúry bolo identifikovaných až 45 serverov C2, pričom deväť z nich je pevne zakódovaných do vzoriek na dynamickú aktualizáciu zoznamu C2.
Tieto napevno zakódované servery nie sú skutočné C2, ale C2 presmerovače – ich účelom je posielať požiadavky robotov na autentický C2 s cieľom ochrániť pravý C2 pred detekciou. To tiež vyvolalo obavy, že útočníci môžu priamo ovládať niektoré z napevno zakódovaných serverov, pretože existuje riziko straty prístupu k botnetu, ak sa správcovia stránok WordPress dozvedia o kompromise a prijmú nápravné opatrenia.
Útočníci môžu na infikovaných zariadeniach vykonávať rôzne rušivé akcie
Príkazy prijaté zo servera C2 umožňujú malvéru zhromažďovať podrobnosti o zariadení a súboroch, uvádzať zoznam nainštalovaných aplikácií, aktualizovať server C2, sťahovať a spúšťať ďalšie užitočné zaťaženia zo servera C2 alebo zo zadanej adresy URL a sám sa odstraňovať.
Úplné ciele a rozsah kampane sú v súčasnosti nejasné. Napriek tomu existujú podozrenia, že táto klamlivá taktika mohla byť použitá na zvýšenie počtu inštalácií a následné odhalenie schopností malvéru.
Aby sa minimalizovalo nebezpečenstvo, ktoré takýto malvér predstavuje, je dôležité inštalovať aplikácie výhradne z renomovaných zdrojov a pred stiahnutím dôkladne skontrolovať hodnotenia a povolenia aplikácií.
