Wpeeper 行動惡意軟體

安全分析師發現了一種針對 Android 裝置的新型惡意軟體。這種名為 Wpeeper 的惡意軟體以前並不為人所知，它利用受感染的 WordPress 網站來掩蓋其命令與控制 (C2) 伺服器連接，使其更難以檢測。 Wpeeper 作為 ELF 二進位檔案運行，並利用 HTTPS 與其 C2 伺服器進行安全通訊。

Wpeeper 是 Android 的標準後門木馬，可進行各種活動，包括收集敏感裝置資料、檔案和目錄管理、檔案傳輸（上傳和下載）以及遠端命令執行。

Wpeeper 惡意軟體透過受損的 Android 應用程式感染設備

受損的 ELF 二進位檔案隱藏在 Android 版 UPtodown App Store 應用程式的修改版本中（套件名稱為「com.uptodown」），APK 檔案充當後門的載體，旨在避免偵測。

活動選擇 Uptodown App Store 應用程式表明其試圖偽裝合法的第三方應用程式市場並欺騙毫無戒心的用戶安裝它。根據 Android-apk.org 的統計，該應用程式的受感染版本（5.92）迄今已被下載 2,609 次。

Wpeeper 惡意軟體利用複雜的命令與控制架構

Wpeeper 採用複雜的 C2 架構，其中受感染的 WordPress 網站充當中間人來混淆其真正的 C2 伺服器。此基礎架構中已識別出多達 45 個 C2 伺服器，其中 9 個被硬編碼到樣本中以動態更新 C2 清單。

這些硬編碼伺服器不是真正的 C2，而是 C2 重定向器——它們的目的是將機器人的請求轉發給真實的 C2，旨在保護真實的 C2 免受偵測。這也引發了人們的擔憂，即攻擊者可能會直接控制一些硬編碼伺服器，因為如果 WordPress 網站管理員意識到這一漏洞並採取糾正措施，則存在失去對殭屍網路的存取權限的風險。

攻擊者可以對受感染的設備執行各種侵入操作

從 C2 伺服器接收的命令使惡意軟體能夠收集裝置和檔案詳細資訊、列出已安裝的應用程式、更新 C2 伺服器、從 C2 伺服器或指定 URL 下載並運行其他有效負載，以及自我刪除。

該活動的全部目標和範圍目前尚不清楚。儘管如此，有人懷疑這種欺騙性策略可能被用來提高安裝量並隨後暴露惡意軟體的功能。

為了最大限度地減少此類惡意軟體造成的危險，僅從信譽良好的來源安裝應用程式並在下載之前仔細檢查應用程式評級和權限至關重要。