Wpeeper मोबाइल मैलवेयर

सुरक्षा विश्लेषकों ने Android डिवाइसों को निशाना बनाने वाले एक नए प्रकार के मैलवेयर का पता लगाया है। Wpeeper नाम का यह मैलवेयर पहले अज्ञात था और अपने कमांड-एंड-कंट्रोल (C2) सर्वर कनेक्शन को छिपाने के लिए समझौता किए गए WordPress साइट्स का उपयोग करता है, जिससे इसका पता लगाना मुश्किल हो जाता है। Wpeeper एक ELF बाइनरी के रूप में काम करता है और अपने C2 सर्वर के साथ सुरक्षित संचार के लिए HTTPS का उपयोग करता है।

Wpeeper एंड्रॉइड के लिए एक मानक बैकडोर ट्रोजन के रूप में कार्य करता है, जो संवेदनशील डिवाइस डेटा एकत्र करने, फ़ाइल और निर्देशिका प्रबंधन, फ़ाइल स्थानांतरण (अपलोडिंग और डाउनलोडिंग) और दूरस्थ कमांड निष्पादन सहित विभिन्न गतिविधियों को सक्षम करता है।

Wpeeper मैलवेयर, समझौता किए गए Android एप्लिकेशन के माध्यम से डिवाइस को संक्रमित करता है

समझौता किया गया ELF बाइनरी एंड्रॉयड के लिए UPtodown ऐप स्टोर एप्लिकेशन के संशोधित संस्करण (पैकेज नाम 'com.uptodown') के भीतर छिपा हुआ है, जिसमें APK फ़ाइल बैकडोर के लिए वाहक के रूप में कार्य करती है, जिसे पता लगाने से बचने के लिए डिज़ाइन किया गया है।

इस अभियान के लिए अपटूडाउन ऐप स्टोर ऐप का चयन एक वैध तृतीय-पक्ष ऐप मार्केटप्लेस को छिपाने और अनजान उपयोगकर्ताओं को इसे इंस्टॉल करने के लिए धोखा देने के प्रयास का सुझाव देता है। Android-apk.org के आँकड़ों के अनुसार, ऐप के समझौता किए गए संस्करण (5.92) को अब तक 2,609 बार डाउनलोड किया जा चुका है।

Wpeeper मैलवेयर जटिल कमांड-एंड-कंट्रोल आर्किटेक्चर का उपयोग करता है

Wpeeper एक परिष्कृत C2 आर्किटेक्चर का उपयोग करता है जिसमें संक्रमित वर्डप्रेस साइटें इसके वास्तविक C2 सर्वर को अस्पष्ट करने के लिए मध्यस्थ के रूप में कार्य करती हैं। इस बुनियादी ढांचे के भीतर 45 C2 सर्वरों की पहचान की गई है, जिनमें से नौ को C2 सूची को गतिशील रूप से अपडेट करने के लिए नमूनों में हार्डकोड किया गया है।

ये हार्डकोडेड सर्वर वास्तविक C2 नहीं बल्कि C2 रीडायरेक्टर हैं - इनका उद्देश्य बॉट के अनुरोधों को प्रामाणिक C2 पर अग्रेषित करना है, जिसका उद्देश्य वास्तविक C2 को पहचान से बचाना है। इससे यह चिंता भी पैदा हुई है कि हमलावर कुछ हार्डकोडेड सर्वरों को सीधे नियंत्रित कर सकते हैं, क्योंकि अगर वर्डप्रेस साइट प्रशासकों को समझौता के बारे में पता चल जाता है और वे सुधारात्मक कार्रवाई करते हैं तो बॉटनेट तक पहुँच खोने का जोखिम है।

हमलावर संक्रमित डिवाइस पर विभिन्न घुसपैठिया कार्यवाहियां कर सकते हैं

C2 सर्वर से प्राप्त आदेश मैलवेयर को डिवाइस और फ़ाइल विवरण एकत्र करने, इंस्टॉल किए गए अनुप्रयोगों को सूचीबद्ध करने, C2 सर्वर को अपडेट करने, C2 सर्वर या निर्दिष्ट URL से अतिरिक्त पेलोड डाउनलोड करने और चलाने, तथा स्वयं हटाने में सक्षम बनाते हैं।

अभियान का पूरा उद्देश्य और दायरा फिलहाल स्पष्ट नहीं है। फिर भी, संदेह है कि इस भ्रामक रणनीति का इस्तेमाल इंस्टॉलेशन के आंकड़ों को बढ़ाने और बाद में मैलवेयर की क्षमताओं को उजागर करने के लिए किया गया हो सकता है।

ऐसे मैलवेयर से उत्पन्न खतरों को न्यूनतम करने के लिए, केवल प्रतिष्ठित स्रोतों से ही एप्लिकेशन इंस्टॉल करना तथा डाउनलोड करने से पहले एप्लिकेशन रेटिंग और अनुमतियों की सावधानीपूर्वक समीक्षा करना महत्वपूर्ण है।