Зловмисне програмне забезпечення для мобільних пристроїв Wpeeper

Аналітики безпеки виявили новий тип шкідливого програмного забезпечення, спрямованого на пристрої Android. Це зловмисне програмне забезпечення під назвою Wpeeper раніше було невідоме та використовує скомпрометовані сайти WordPress, щоб маскувати з’єднання з сервером командного керування (C2), що ускладнює його виявлення. Wpeeper працює як двійковий файл ELF і використовує HTTPS для безпечного зв’язку зі своїми серверами C2.

Wpeeper функціонує як стандартний бекдор-троян для Android, уможливлюючи різноманітні дії, включаючи збір конфіденційних даних пристрою, керування файлами та каталогами, передачу файлів (завантаження та завантаження) і віддалене виконання команд.

Зловмисне програмне забезпечення Wpeeper заражає пристрої через скомпрометовані програми Android

Скомпрометований двійковий файл ELF прихований у модифікованій версії програми UPtodown App Store для Android (ім’я пакета «com.uptodown»), а файл APK служить носієм для бекдора, призначеного для уникнення виявлення.

Вибір програми Uptodown App Store для цієї кампанії свідчить про спробу замаскувати законний сторонній ринок додатків і змусити нічого не підозрюючих користувачів встановити його. Згідно зі статистикою Android-apk.org, скомпрометовану версію програми (5.92) наразі було завантажено 2609 разів.

Зловмисне програмне забезпечення Wpeeper використовує складну командно-контрольну архітектуру

Wpeeper використовує складну архітектуру C2, у якій заражені сайти WordPress діють як посередники для обфускації його справжніх серверів C2. У цій інфраструктурі було ідентифіковано до 45 серверів C2, дев’ять із яких жорстко закодовані у зразки для динамічного оновлення списку C2.

Ці жорстко закодовані сервери є не справжніми C2, а перенаправлячами C2 — їх мета полягає в тому, щоб пересилати запити бота до автентичного C2, щоб захистити справжній C2 від виявлення. Це також викликало занепокоєння, що зловмисники можуть безпосередньо контролювати деякі жорстко закодовані сервери, оскільки існує ризик втрати доступу до ботнету, якщо адміністратори сайту WordPress дізнаються про компрометацію та вживуть заходів для виправлення.

Зловмисники можуть виконувати різноманітні дії на інфікованих пристроях

Команди, отримані від сервера C2, дозволяють зловмисному програмному забезпеченню збирати відомості про пристрій і файли, створювати список встановлених програм, оновлювати сервер C2, завантажувати та запускати додаткові корисні дані з сервера C2 або за вказаною URL-адресою, а також самовидалятися.

Повні цілі та масштаби кампанії наразі невідомі. Тим не менш, є підозри, що ця оманлива тактика могла бути застосована для підвищення кількості встановлень і згодом виявлення можливостей шкідливого програмного забезпечення.

Щоб звести до мінімуму небезпеки, пов’язані з таким зловмисним програмним забезпеченням, надзвичайно важливо встановлювати програми виключно з надійних джерел і уважно переглядати рейтинги програм і дозволи перед завантаженням.