Wpeeper mobiele malware
Beveiligingsanalisten hebben een nieuw type malware ontdekt, gericht op Android-apparaten. Deze malware, genaamd Wpeeper, was voorheen onbekend en maakt gebruik van gecompromitteerde WordPress-sites om de Command-and-Control (C2)-serververbindingen te maskeren, waardoor deze moeilijker te detecteren is. Wpeeper werkt als een binair ELF-bestand en gebruikt HTTPS voor veilige communicatie met zijn C2-servers.
Wpeeper functioneert als een standaard achterdeurtrojan voor Android en maakt verschillende activiteiten mogelijk, waaronder het verzamelen van gevoelige apparaatgegevens, bestands- en mapbeheer, bestandsoverdracht (uploaden en downloaden) en het uitvoeren van opdrachten op afstand.
Inhoudsopgave
De Wpeeper-malware infecteert apparaten via gecompromitteerde Android-applicaties
Het gecompromitteerde ELF-binaire bestand is verborgen in een aangepaste versie van de UPtodown App Store-applicatie voor Android (pakketnaam 'com.uptodown'), waarbij het APK-bestand dient als drager voor de achterdeur, ontworpen om detectie te voorkomen.
De keuze voor de Uptodown App Store-app voor deze campagne suggereert een poging om een legitieme app-marktplaats van derden te camoufleren en nietsvermoedende gebruikers te misleiden om deze te installeren. Volgens statistieken van Android-apk.org is de gecompromitteerde versie van de app (5.92) tot nu toe 2.609 keer gedownload.
De Wpeeper-malware maakt gebruik van complexe Command-and-Control-architectuur
Wpeeper maakt gebruik van een geavanceerde C2-architectuur waarbij geïnfecteerde WordPress-sites als tussenpersoon optreden om de echte C2-servers te verdoezelen. Binnen deze infrastructuur zijn tot wel 45 C2-servers geïdentificeerd, waarvan er negen hardgecodeerd in de samples zijn opgenomen om de C2-lijst dynamisch bij te werken.
Deze hardgecodeerde servers zijn geen echte C2's maar C2-redirectors. Hun doel is om de verzoeken van de bot door te sturen naar de authentieke C2, met als doel de echte C2 tegen detectie te beschermen. Dit heeft ook de bezorgdheid doen rijzen dat de aanvallers sommige van de hardgecodeerde servers rechtstreeks kunnen controleren, omdat het risico bestaat dat de toegang tot het botnet wordt verloren als WordPress-sitebeheerders zich bewust worden van het compromis en corrigerende maatregelen nemen.
Aanvallers kunnen verschillende opdringerige acties uitvoeren op geïnfecteerde apparaten
Met opdrachten die van de C2-server worden ontvangen, kan de malware apparaat- en bestandsgegevens verzamelen, geïnstalleerde applicaties weergeven, de C2-server bijwerken, extra payloads downloaden en uitvoeren vanaf de C2-server of een opgegeven URL, en zichzelf verwijderen.
De volledige doelstellingen en reikwijdte van de campagne zijn momenteel onduidelijk. Toch bestaan er vermoedens dat deze misleidende tactiek mogelijk is gebruikt om de installatiecijfers te verhogen en vervolgens de mogelijkheden van de malware bloot te leggen.
Om de gevaren van dergelijke malware tot een minimum te beperken, is het van cruciaal belang om uitsluitend apps van betrouwbare bronnen te installeren en de beoordelingen en toestemmingen van applicaties zorgvuldig te beoordelen voordat u gaat downloaden.
