Wpeeper モバイル マルウェアが Android デバイスをターゲットに

サイバーセキュリティの研究者らは、Android デバイスを標的とする新しいマルウェアを特定しました。Wpeeper と名付けられたこのマルウェアは、侵害された WordPress ウェブサイトを使用して実際のコマンド アンド コントロール サーバーを隠蔽し、検出を困難にしていることが判明しました。

Wpeeper は ELF バイナリとして設計されており、コマンド アンド コントロール操作のセキュリティを確保するために HTTPS 経由で通信します。QiAnXin XLab チームによると、Wpeeper はバックドア型トロイの木馬として機能し、攻撃者がデバイス データを収集し、ファイルを管理し、感染したデバイス上でさまざまなコマンドを実行できるようにします。

Wpeeper は UPtodown の修正版に乗っている

このマルウェアは、Android 向けの UPtodown App Store アプリの再パッケージ版 (パッケージ名「com.uptodown」) を通じて配布されます。この方法は検出を回避するために使用され、感染した APK ファイルがバックドアの媒体として機能します。

QiAnXin XLab は、2024 年 4 月 18 日に VirusTotal で Wpeeper を検出しましたが、それまで検出されていませんでした。キャンペーンは 4 日後に突然停止しました。

Wpeeper のコマンド アンド コントロール インフラストラクチャでは、感染した WordPress サイトを仲介役として使用し、最大 45 台のコマンド アンド コントロール サーバーが特定されています。これらのサーバーの一部はリダイレクタとして機能し、検出を回避するために実際のコマンド アンド コントロール サーバーにリクエストを転送します。

このマルウェアの機能には、デバイス情報の収集、インストールされているアプリの一覧表示、コマンドアンドコントロールサーバーのリスト更新、追加のペイロードのダウンロード、自己削除などが含まれます。

このキャンペーンの正確な目的と規模は不明だが、Uptodown App Storeアプリの使用は、ユーザーを騙してマルウェアをダウンロードさせようとする試みを示唆している。GoogleはニュースメディアThe Hacker Newsに連絡し、このマルウェアを含むアプリは現在Google Playには存在せず、Google Play Protectを搭載したAndroidデバイスは、たとえGoogle Playストア以外の場所から発信されたものであっても、悪意のあるアプリから自動的に保護されていると述べた。