Złośliwe oprogramowanie mobilne Wpeeper atakuje urządzenia z systemem Android
Badacze zajmujący się cyberbezpieczeństwem zidentyfikowali nowe złośliwe oprogramowanie atakujące urządzenia z Androidem. Stwierdzono, że to złośliwe oprogramowanie o nazwie Wpeeper wykorzystuje zainfekowane witryny WordPress do maskowania swoich prawdziwych serwerów dowodzenia i kontroli, co utrudnia jego wykrycie.
Wpeeper został zaprojektowany jako plik binarny ELF i komunikuje się za pośrednictwem protokołu HTTPS w celu zabezpieczenia operacji dowodzenia i kontroli. Według zespołu QiAnXin XLab Wpeeper działa jak trojan typu backdoor, umożliwiający atakującym zbieranie danych z urządzenia, zarządzanie plikami i wykonywanie różnych poleceń na zainfekowanych urządzeniach.
Wpeeper jeździ wewnątrz zmodyfikowanej wersji UPtodown
Szkodnik jest dystrybuowany za pośrednictwem przepakowanej wersji aplikacji UPtodown App Store (o nazwie pakietu „com.uptodown”) dla systemu Android. Podejście to służy do uniknięcia wykrycia, a zainfekowany plik APK służy jako nośnik backdoora.
QiAnXin XLab odkrył Wpeepera po wykryciu go w VirusTotal 18 kwietnia 2024 r., bez wcześniejszego wykrycia. Kampania zakończyła się nagle cztery dni później.
Infrastruktura dowodzenia i kontroli Wpeeper wykorzystuje zainfekowane witryny WordPress jako pośredników, przy czym zidentyfikowano do 45 serwerów dowodzenia i kontroli. Niektóre z tych serwerów działają jako przekierowania, przekazując żądania do rzeczywistych serwerów dowodzenia i kontroli, aby uniknąć wykrycia.
Możliwości szkodliwego oprogramowania obejmują zbieranie informacji o urządzeniu, wyświetlanie listy zainstalowanych aplikacji, aktualizowanie listy serwerów dowodzenia i kontroli, pobieranie dodatkowych ładunków i automatyczne usuwanie.
Chociaż dokładne cele i skala kampanii pozostają niejasne, korzystanie z aplikacji Uptodown App Store sugeruje próbę oszukania użytkowników w celu pobrania szkodliwego oprogramowania. Firma Google skontaktowała się z serwisem informacyjnym The Hacker News i stwierdziła, że w Google Play nie ma obecnie żadnych aplikacji zawierających to złośliwe oprogramowanie, a urządzenia z Androidem i funkcją Google Play Protect są automatycznie chronione przed złośliwymi aplikacjami, nawet jeśli pochodzą z lokalizacji innych niż sklep Google Play.
