Wpeeper Mobile Malware
Nakahukay ang mga security analyst ng bagong uri ng malware na naglalayong sa mga Android device. Ang malware na ito, na pinangalanang Wpeeper, ay dating hindi kilala at gumagamit ng mga nakompromisong WordPress site upang i-mask ang mga koneksyon nito sa Command-and-Control (C2), na ginagawang mas mahirap na matukoy. Gumagana ang Wpeeper bilang isang ELF binary at gumagamit ng HTTPS para sa secure na komunikasyon sa mga C2 server nito.
Ang Wpeeper ay gumagana bilang isang karaniwang backdoor Trojan para sa Android, na nagpapagana ng iba't ibang aktibidad, kabilang ang pangangalap ng sensitibong data ng device, pamamahala ng file at direktoryo, paglilipat ng file (pag-upload at pag-download), at remote na pagpapatupad ng command.
Talaan ng mga Nilalaman
Nai-infect ng Wpeeper Malware ang Mga Device sa pamamagitan ng Mga Nakompromisong Android Application
Ang nakompromisong ELF binary ay nakatago sa loob ng isang binagong bersyon ng UPtodown App Store na application para sa Android (pangalan ng package na 'com.uptodown'), kasama ang APK file na nagsisilbing carrier para sa backdoor, na idinisenyo upang maiwasan ang pagtuklas.
Ang pagpili ng Uptodown App Store app para sa campaign na ito ay nagmumungkahi ng pagsisikap na i-camouflage ang isang lehitimong third-party na marketplace ng app at linlangin ang mga hindi pinaghihinalaang user sa pag-install nito. Ayon sa mga istatistika mula sa Android-apk.org, ang nakompromisong bersyon ng app (5.92) ay na-download nang 2,609 beses sa ngayon.
Ang Wpeeper Malware ay Gumagamit ng Complex Command-and-Control Architecture
Gumagamit ang Wpeeper ng isang sopistikadong arkitektura ng C2 na kinasasangkutan ng mga nahawaang WordPress site na kumikilos bilang mga tagapamagitan upang i-obfuscate ang mga tunay na C2 server nito. Hanggang sa 45 C2 server ang natukoy sa loob ng imprastraktura na ito, kung saan siyam sa mga ito ay na-hardcode sa mga sample upang dynamic na i-update ang listahan ng C2.
Ang mga hardcoded server na ito ay hindi mga aktwal na C2 ngunit C2 redirector — ang layunin nila ay ipasa ang mga kahilingan ng bot sa tunay na C2, na naglalayong protektahan ang tunay na C2 mula sa pagtuklas. Itinaas din nito ang pag-aalala na maaaring direktang kontrolin ng mga umaatake ang ilan sa mga hardcoded na server, dahil may panganib na mawalan ng access sa botnet kung malalaman ng mga administrator ng site ng WordPress ang kompromiso at gagawa sila ng pagwawasto.
Maaaring Magsagawa ng Iba't-ibang Mapanghimasok na Aksyon ang mga Attacker sa Mga Infected na Device
Ang mga command na natanggap mula sa C2 server ay nagbibigay-daan sa malware na mangalap ng mga detalye ng device at file, maglista ng mga naka-install na application, mag-update ng C2 server, mag-download at magpatakbo ng mga karagdagang payload mula sa C2 server o isang tinukoy na URL, at mag-self-delete.
Ang buong layunin at saklaw ng kampanya ay kasalukuyang hindi malinaw. Gayunpaman, may mga hinala na ang mapanlinlang na taktika na ito ay maaaring ginamit upang palakasin ang mga numero ng pag-install at pagkatapos ay ilantad ang mga kakayahan ng malware.
Upang mabawasan ang mga panganib na dulot ng naturang malware, napakahalaga na eksklusibong mag-install ng mga app mula sa mga mapagkakatiwalaang source at maingat na suriin ang mga rating at pahintulot ng application bago mag-download.
