Wpeeper Mobile Malware
Анализаторите по сигурността откриха нов тип зловреден софтуер, насочен към устройства с Android. Този злонамерен софтуер, наречен Wpeeper, беше неизвестен преди и използва компрометирани сайтове на WordPress, за да маскира връзките си със сървъра Command-and-Control (C2), което го прави по-труден за откриване. Wpeeper работи като ELF двоичен файл и използва HTTPS за сигурна комуникация със своите C2 сървъри.
Wpeeper функционира като стандартен заден троянски кон за Android, позволяващ различни дейности, включително събиране на чувствителни данни от устройството, управление на файлове и директории, прехвърляне на файлове (качване и изтегляне) и дистанционно изпълнение на команди.
Съдържание
Зловреден софтуер Wpeeper заразява устройства чрез компрометирани приложения за Android
Компрометираният двоичен файл на ELF е скрит в модифицирана версия на приложението UPtodown App Store за Android (име на пакета „com.uptodown“), като APK файлът служи като носител за задната врата, предназначен да избягва откриването.
Изборът на приложението Uptodown App Store за тази кампания предполага усилие да се прикрие легитимен пазар за приложения на трети страни и да се подмамят нищо неподозиращите потребители да го инсталират. Според статистиката на Android-apk.org, компрометираната версия на приложението (5.92) е изтеглена 2609 пъти досега.
Зловреден софтуер Wpeeper използва сложна архитектура за командване и контрол
Wpeeper използва усъвършенствана C2 архитектура, която включва заразени WordPress сайтове, действащи като посредници, за да замъглят своите истински C2 сървъри. В рамките на тази инфраструктура са идентифицирани до 45 C2 сървъра, като девет от тях са твърдо кодирани в пробите за динамично актуализиране на C2 списъка.
Тези твърдо кодирани сървъри не са действителни C2, а C2 пренасочвачи — тяхната цел е да препращат заявките на бота към автентичния C2, като целта е да предпази истинския C2 от откриване. Това също повиши загрижеността, че нападателите могат директно да контролират някои от твърдо кодираните сървъри, тъй като има риск от загуба на достъп до ботнет, ако администраторите на сайта на WordPress разберат за компромиса и предприемат коригиращи действия.
Нападателите могат да извършват различни натрапчиви действия на заразени устройства
Командите, получени от сървъра C2, позволяват на злонамерения софтуер да събира подробности за устройството и файла, да изброява инсталираните приложения, да актуализира сървъра C2, да изтегля и изпълнява допълнителни полезни натоварвания от сървъра C2 или определен URL адрес и да се самопремахва.
Пълните цели и обхват на кампанията засега не са ясни. Все пак има подозрения, че тази измамна тактика може да е била използвана за увеличаване на броя на инсталациите и впоследствие да разкрие възможностите на зловреден софтуер.
За да сведете до минимум опасностите, породени от такъв злонамерен софтуер, е изключително важно да инсталирате приложения само от надеждни източници и внимателно да прегледате оценките и разрешенията на приложенията, преди да изтеглите.
