Вредоносное ПО Wpeeper Mobile нацелено на устройства Android
Исследователи в области кибербезопасности выявили новое вредоносное ПО, нацеленное на устройства Android. Было обнаружено, что это вредоносное ПО под названием Wpeeper использует скомпрометированные веб-сайты WordPress для маскировки своих истинных серверов управления и контроля, что затрудняет его обнаружение.
Wpeeper спроектирован как двоичный файл ELF и обменивается данными через HTTPS для защиты операций управления и контроля. По данным команды QiAnXin XLab, Wpeeper действует как троян-бэкдор, позволяющий злоумышленникам собирать данные об устройствах, управлять файлами и выполнять различные команды на зараженных устройствах.
Wpeeper использует модифицированную версию UPtodown
Вредоносное ПО распространяется через переупакованную версию приложения UPtodown App Store (с названием пакета «com.uptodown») для Android. Этот подход используется для уклонения от обнаружения, при этом зараженный APK-файл служит носителем для бэкдора.
QiAnXin XLab обнаружил Wpeeper, когда он был обнаружен на VirusTotal 18 апреля 2024 года, без предварительного обнаружения. Кампания внезапно прекратилась четыре дня спустя.
Инфраструктура управления и контроля Wpeeper предполагает использование зараженных сайтов WordPress в качестве посредников, при этом идентифицировано до 45 серверов управления и контроля. Некоторые из этих серверов действуют как перенаправители, перенаправляя запросы на фактические серверы управления и контроля, чтобы избежать обнаружения.
Возможности вредоносного ПО включают сбор информации об устройстве, составление списка установленных приложений, обновление списка серверов управления и контроля, загрузку дополнительных полезных данных и самоудаление.
Хотя точные цели и масштабы кампании остаются неясными, использование приложения Uptodown App Store предполагает попытку обманом заставить пользователей загрузить вредоносное ПО. Компания Google связалась с новостным изданием The Hacker News и заявила, что в настоящее время в Google Play нет приложений, содержащих это вредоносное ПО, а устройства Android с Google Play Protect автоматически защищаются от вредоносных приложений, даже если они происходят из мест, отличных от магазина Google Play.
