Wpeeper mobil skadlig programvara
Säkerhetsanalytiker har grävt fram en ny typ av skadlig programvara riktad mot Android-enheter. Denna skadliga programvara, som heter Wpeeper, var tidigare okänd och använder komprometterade WordPress-webbplatser för att maskera sina Command-and-Control-serveranslutningar (C2), vilket gör det svårare att upptäcka. Wpeeper fungerar som en ELF-binär och använder HTTPS för säker kommunikation med sina C2-servrar.
Wpeeper fungerar som en vanlig bakdörrstrojan för Android, vilket möjliggör olika aktiviteter, inklusive insamling av känslig enhetsdata, fil- och kataloghantering, filöverföringar (uppladdning och nedladdning) och fjärrstyrning av kommandon.
Innehållsförteckning
Wpeeper Malware infekterar enheter via komprometterade Android-applikationer
Den komprometterade ELF-binären är dold i en modifierad version av UPtodown App Store-applikationen för Android (paketnamnet 'com.uptodown'), med APK-filen som fungerar som bärare för bakdörren, utformad för att undvika upptäckt.
Valet av Uptodown App Store-appen för den här kampanjen antyder ett försök att kamouflera en legitim tredjepartsappmarknad och lura intet ont anande användare att installera den. Enligt statistik från Android-apk.org har den komprometterade versionen av appen (5.92) hittills laddats ner 2 609 gånger.
Wpeeper Malware använder komplex kommando-och-kontroll-arkitektur
Wpeeper använder en sofistikerad C2-arkitektur som involverar infekterade WordPress-webbplatser som fungerar som mellanhänder för att fördunkla dess äkta C2-servrar. Upp till 45 C2-servrar har identifierats inom denna infrastruktur, varav nio av dem är hårdkodade i proverna för att dynamiskt uppdatera C2-listan.
Dessa hårdkodade servrar är inte riktiga C2:er utan C2-omdirigerare - deras syfte är att vidarebefordra botens förfrågningar till den autentiska C2:an, i syfte att skydda den äkta C2:an från upptäckt. Detta har också väckt oro för att angriparna direkt kan kontrollera några av de hårdkodade servrarna, eftersom det finns en risk att förlora tillgången till botnätet om WordPress-webbplatsadministratörer blir medvetna om kompromissen och vidtar korrigerande åtgärder.
Angripare kan utföra olika påträngande åtgärder på infekterade enheter
Kommandon som tas emot från C2-servern gör det möjligt för skadlig programvara att samla in enhets- och fildetaljer, lista installerade applikationer, uppdatera C2-servern, ladda ner och köra ytterligare nyttolaster från C2-servern eller en specificerad URL och självta bort.
Kampanjens fullständiga mål och omfattning är för närvarande oklara. Ändå finns det misstankar om att denna vilseledande taktik kan ha använts för att öka installationssiffrorna och därefter avslöja skadlig programvaras kapacitet.
För att minimera farorna med sådan skadlig programvara är det viktigt att exklusivt installera appar från välrenommerade källor och noggrant granska applikationernas betyg och behörigheter innan du laddar ner.
