Wpeeper mobilni zlonamjerni softver
Sigurnosni analitičari otkrili su novu vrstu zlonamjernog softvera usmjerenog na Android uređaje. Ovaj zlonamjerni softver, nazvan Wpeeper, prethodno je bio nepoznat i koristi kompromitirane WordPress stranice kako bi maskirao svoje veze s Command-and-Control (C2) poslužiteljem, što ga čini težim za otkrivanje. Wpeeper radi kao ELF binarni zapis i koristi HTTPS za sigurnu komunikaciju sa svojim C2 poslužiteljima.
Wpeeper funkcionira kao standardni backdoor trojanac za Android, omogućujući različite aktivnosti, uključujući prikupljanje osjetljivih podataka uređaja, upravljanje datotekama i imenicima, prijenos datoteka (učitavanje i preuzimanje) i daljinsko izvršavanje naredbi.
Sadržaj
Zlonamjerni softver Wpeeper inficira uređaje preko ugroženih Android aplikacija
Kompromitirana ELF binarna datoteka skrivena je unutar modificirane verzije aplikacije UPtodown App Store za Android (naziv paketa 'com.uptodown'), s APK datotekom koja služi kao nosač za backdoor, dizajniran da izbjegne otkrivanje.
Odabir aplikacije Uptodown App Store za ovu kampanju sugerira nastojanje da se zakamuflira legitimno tržište aplikacija treće strane i prevare korisnici koji ništa ne sumnjaju da je instaliraju. Prema statistici Android-apk.org, kompromitirana verzija aplikacije (5.92) dosad je preuzeta 2609 puta.
Zlonamjerni softver Wpeeper koristi složenu arhitekturu upravljanja i upravljanja
Wpeeper koristi sofisticiranu C2 arhitekturu koja uključuje zaražene WordPress stranice koje djeluju kao posrednici u prikrivanju njegovih originalnih C2 poslužitelja. Identificirano je do 45 C2 poslužitelja unutar ove infrastrukture, od kojih je devet tvrdo kodirano u uzorcima za dinamičko ažuriranje C2 popisa.
Ovi tvrdo kodirani poslužitelji nisu stvarni C2, već C2 preusmjerivači — njihova je svrha proslijediti zahtjeve bota autentičnom C2, s ciljem zaštite originalnog C2 od otkrivanja. Ovo je također izazvalo zabrinutost da bi napadači mogli izravno kontrolirati neke od tvrdo kodiranih poslužitelja, budući da postoji rizik od gubitka pristupa botnetu ako administratori web-mjesta WordPress postanu svjesni kompromisa i poduzmu korektivne mjere.
Napadači mogu izvoditi razne nametljive radnje na zaraženim uređajima
Naredbe primljene od C2 poslužitelja omogućuju zlonamjernom softveru prikupljanje podataka o uređaju i datoteci, popis instaliranih aplikacija, ažuriranje C2 poslužitelja, preuzimanje i pokretanje dodatnih sadržaja s C2 poslužitelja ili određenog URL-a te samouklanjanje.
Potpuni ciljevi i opseg kampanje trenutno nisu jasni. Ipak, postoje sumnje da je ova prijevarna taktika možda korištena kako bi se povećao broj instaliranja i naknadno razotkrile mogućnosti zlonamjernog softvera.
Kako biste minimizirali opasnosti koje donosi takav zlonamjerni softver, ključno je instalirati isključivo aplikacije iz renomiranih izvora i pažljivo pregledati ocjene i dopuštenja aplikacija prije preuzimanja.
