Phần mềm độc hại di động Wpeeper

Các nhà phân tích bảo mật đã phát hiện ra một loại phần mềm độc hại mới nhắm vào các thiết bị Android. Phần mềm độc hại này có tên là Wpeeper, trước đây chưa được biết đến và sử dụng các trang web WordPress bị xâm nhập để che giấu các kết nối máy chủ Lệnh và Kiểm soát (C2), khiến nó khó bị phát hiện hơn. Wpeeper hoạt động dưới dạng nhị phân ELF và sử dụng HTTPS để liên lạc an toàn với các máy chủ C2 của nó.

Wpeeper hoạt động như một Trojan cửa hậu tiêu chuẩn dành cho Android, cho phép thực hiện nhiều hoạt động khác nhau, bao gồm thu thập dữ liệu nhạy cảm của thiết bị, quản lý tệp và thư mục, truyền tệp (tải lên và tải xuống) cũng như thực thi lệnh từ xa.

Phần mềm độc hại Wpeeper lây nhiễm vào các thiết bị thông qua các ứng dụng Android bị xâm nhập

Tệp nhị phân ELF bị xâm phạm được ẩn trong phiên bản sửa đổi của ứng dụng UPtodown App Store dành cho Android (tên gói 'com.uptodown'), với tệp APK đóng vai trò là nhà cung cấp cho cửa sau, được thiết kế để tránh bị phát hiện.

Việc lựa chọn ứng dụng Uptodown App Store cho chiến dịch này cho thấy nỗ lực ngụy trang thị trường ứng dụng hợp pháp của bên thứ ba và đánh lừa những người dùng không nghi ngờ cài đặt nó. Theo thống kê từ Android-apk.org, phiên bản bị xâm nhập của ứng dụng (5,92) đã được tải xuống 2.609 lần cho đến nay.

Phần mềm độc hại Wpeeper sử dụng kiến trúc điều khiển và ra lệnh phức tạp

Wpeeper sử dụng kiến trúc C2 phức tạp, trong đó các trang web WordPress bị nhiễm virus đóng vai trò trung gian để làm xáo trộn các máy chủ C2 chính hãng của nó. Có tới 45 máy chủ C2 đã được xác định trong cơ sở hạ tầng này, trong đó có 9 máy chủ được mã hóa cứng vào các mẫu để cập nhật động danh sách C2.

Các máy chủ được mã hóa cứng này không phải là C2 thực tế mà là bộ chuyển hướng C2 — mục đích của chúng là chuyển tiếp các yêu cầu của bot đến C2 đích thực, nhằm mục đích bảo vệ C2 chính hãng khỏi bị phát hiện. Điều này cũng làm dấy lên mối lo ngại rằng những kẻ tấn công có thể trực tiếp kiểm soát một số máy chủ được mã hóa cứng, vì có nguy cơ mất quyền truy cập vào mạng botnet nếu quản trị viên trang WordPress biết được sự xâm phạm và thực hiện hành động khắc phục.

Kẻ tấn công có thể thực hiện nhiều hành động xâm nhập khác nhau trên các thiết bị bị nhiễm virus

Các lệnh nhận được từ máy chủ C2 cho phép phần mềm độc hại thu thập thông tin chi tiết về thiết bị và tệp, liệt kê các ứng dụng đã cài đặt, cập nhật máy chủ C2, tải xuống và chạy các tải trọng bổ sung từ máy chủ C2 hoặc một URL được chỉ định và tự xóa.

Hiện tại, mục tiêu và phạm vi đầy đủ của chiến dịch vẫn chưa rõ ràng. Tuy nhiên, vẫn có những nghi ngờ rằng chiến thuật lừa đảo này có thể đã được sử dụng để tăng số liệu cài đặt và sau đó làm lộ khả năng của phần mềm độc hại.

Để giảm thiểu những nguy hiểm do phần mềm độc hại như vậy gây ra, điều quan trọng là chỉ cài đặt ứng dụng từ các nguồn có uy tín và xem xét cẩn thận xếp hạng cũng như quyền của ứng dụng trước khi tải xuống.