Wpeeper 모바일 악성코드

보안 분석가들이 Android 기기를 겨냥한 새로운 유형의 악성 코드를 발견했습니다. Wpeeper라는 이름의 이 악성 코드는 이전에 알려지지 않았으며 손상된 WordPress 사이트를 사용하여 명령 및 제어(C2) 서버 연결을 가려서 탐지하기가 더 어렵습니다. Wpeeper는 ELF 바이너리로 작동하며 C2 서버와의 보안 통신을 위해 HTTPS를 사용합니다.

Wpeeper는 Android용 표준 백도어 트로이 목마로 작동하여 중요한 장치 데이터 수집, 파일 및 디렉터리 관리, 파일 전송(업로드 및 다운로드), 원격 명령 실행을 포함한 다양한 활동을 가능하게 합니다.

Wpeeper 악성 코드는 손상된 Android 애플리케이션을 통해 장치를 감염시킵니다.

손상된 ELF 바이너리는 Android용 UPtodown App Store 애플리케이션의 수정된 버전(패키지 이름 'com.uptodown') 내에 숨겨져 있으며 APK 파일은 탐지를 방지하도록 설계된 백도어의 전달자 역할을 합니다.

이 캠페인에서 Uptodown App Store 앱을 선택한 것은 합법적인 제3자 앱 시장을 위장하고 의심하지 않는 사용자가 앱을 설치하도록 속이려는 노력을 암시합니다. Android-apk.org의 통계에 따르면, 손상된 앱 버전(5.92)은 지금까지 2,609회 다운로드되었습니다.

Wpeeper 악성코드는 복잡한 명령 및 제어 아키텍처를 활용합니다.

Wpeeper는 실제 C2 서버를 난독화하기 위해 중개자 역할을 하는 감염된 WordPress 사이트를 포함하는 정교한 C2 아키텍처를 사용합니다. 이 인프라 내에서는 최대 45개의 C2 서버가 식별되었으며, 그 중 9개는 샘플에 하드코딩되어 C2 목록을 동적으로 업데이트합니다.

이러한 하드코딩된 서버는 실제 C2가 아니라 C2 리디렉터입니다. 이들의 목적은 봇의 요청을 실제 C2로 전달하여 실제 C2가 탐지되지 않도록 보호하는 것입니다. 이는 또한 WordPress 사이트 관리자가 손상을 인지하고 시정 조치를 취할 경우 봇넷에 대한 액세스를 잃을 위험이 있기 때문에 공격자가 하드코딩된 서버 중 일부를 직접 제어할 수 있다는 우려를 불러일으켰습니다.

공격자는 감염된 장치에 대해 다양한 침입 작업을 수행할 수 있습니다.

C2 서버에서 수신된 명령을 통해 악성코드는 장치 및 파일 세부 정보를 수집하고, 설치된 애플리케이션을 나열하고, C2 서버를 업데이트하고, C2 서버 또는 지정된 URL에서 추가 페이로드를 다운로드 및 실행하고, 자체 제거할 수 있습니다.

캠페인의 전체 목표와 범위는 현재 명확하지 않습니다. 그럼에도 불구하고 설치 수치를 높이고 결과적으로 악성 코드의 기능을 노출시키기 위해 이러한 기만적인 전술이 사용되었을 수 있다는 의혹이 있습니다.

이러한 맬웨어로 인한 위험을 최소화하려면 평판이 좋은 출처의 앱만 설치하고 다운로드하기 전에 애플리케이션 등급 및 권한을 주의 깊게 검토하는 것이 중요합니다.