Впеепер Мобиле Малвер
Безбедносни аналитичари су открили нову врсту малвера усмереног на Андроид уређаје. Овај злонамерни софтвер, назван Впеепер, раније је био непознат и користи компромитоване ВордПресс сајтове да маскира своје командне и контроле (Ц2) серверске везе, што га чини тежим за откривање. Впеепер ради као ЕЛФ бинарни фајл и користи ХТТПС за безбедну комуникацију са својим Ц2 серверима.
Впеепер функционише као стандардни бацкдоор тројанац за Андроид, омогућавајући различите активности, укључујући прикупљање осетљивих података о уређају, управљање датотекама и директоријумима, пренос датотека (отпремање и преузимање) и даљинско извршавање команди.
Преглед садржаја
Злонамерни софтвер Впеепер инфицира уређаје преко компромитованих Андроид апликација
Компромитована ЕЛФ бинарна датотека је скривена у модификованој верзији апликације УПтодовн Апп Сторе за Андроид (назив пакета 'цом.уптодовн'), при чему АПК датотека служи као носилац за бацкдоор, дизајниран да избегне откривање.
Избор апликације Уптодовн Апп Сторе за ову кампању сугерише настојање да се закамуфлира легитимно тржиште апликација треће стране и обмане несуђени корисници да га инсталирају. Према статистици са Андроид-апк.орг, компромитована верзија апликације (5.92) је до сада преузета 2.609 пута.
Злонамерни софтвер Впеепер користи сложену архитектуру команде и контроле
Впеепер користи софистицирану Ц2 архитектуру која укључује заражене ВордПресс сајтове који делују као посредници у замагљивању његових оригиналних Ц2 сервера. У оквиру ове инфраструктуре идентификовано је до 45 Ц2 сервера, од којих је девет хардкодовано у узорцима да би се динамички ажурирала Ц2 листа.
Ови хардкодирани сервери нису стварни Ц2, већ Ц2 преусмеривачи — њихова сврха је да проследе захтеве бота аутентичном Ц2, са циљем да заштите прави Ц2 од откривања. Ово је такође изазвало забринутост да нападачи могу директно контролисати неке од тврдокодираних сервера, јер постоји ризик од губитка приступа ботнету ако администратори ВордПресс сајта постану свесни компромиса и предузму корективне мере.
Нападачи могу да изврше различите наметљиве радње на зараженим уређајима
Команде примљене са Ц2 сервера омогућавају злонамерном софтверу да прикупи детаље о уређају и фајлу, да наведе инсталиране апликације, ажурира Ц2 сервер, преузме и покрене додатне корисне податке са Ц2 сервера или одређене УРЛ адресе и да се сам уклони.
Потпуни циљеви и обим кампање тренутно су нејасни. Ипак, постоје сумње да је ова обмањујућа тактика можда коришћена да би се повећао број инсталирања и потом разоткриле могућности малвера.
Да бисте смањили опасности које представља такав злонамерни софтвер, кључно је инсталирати апликације искључиво из реномираних извора и пажљиво прегледати оцене апликација и дозволе пре преузимања.
