Wpeeper Mobile Malware er rettet mod Android-enheder

Forskere i cybersikkerhed har identificeret ny malware, der er rettet mod Android-enheder. Denne malware, ved navn Wpeeper, viste sig at bruge kompromitterede WordPress-websteder til at maskere dens sande kommando-og-kontrol-servere, hvilket gør den vanskelig at opdage.

Wpeeper er designet som en ELF-binær og kommunikerer over HTTPS for at sikre dets kommando-og-kontrol-operationer. Ifølge QiAnXin XLab-teamet fungerer Wpeeper som en bagdørstrojaner, der giver angribere mulighed for at indsamle enhedsdata, administrere filer og udføre forskellige kommandoer på inficerede enheder.

Wpeeper kører inde i en ændret version af UPtodown

Malwaren distribueres gennem en ompakket version af UPtodown App Store-appen (med pakkenavnet "com.uptodown") til Android. Denne tilgang bruges til at undgå detektion, hvor den inficerede APK-fil fungerer som en bærer for bagdøren.

QiAnXin XLab opdagede Wpeeper, da de opdagede det på VirusTotal den 18. april 2024 uden forudgående detektion. Kampagnen stoppede brat fire dage senere.

Wpeepers kommando-og-kontrol-infrastruktur involverer brug af inficerede WordPress-websteder som mellemled, med op til 45 kommando-og-kontrol-servere identificeret. Nogle af disse servere fungerer som omdirigerere og videresender anmodninger til de faktiske kommando-og-kontrol-servere for at undgå opdagelse.

Malwarens muligheder omfatter indsamling af enhedsoplysninger, liste over installerede apps, opdatering af dens kommando-og-kontrol serverliste, download af yderligere nyttelast og selvsletning.

Selvom kampagnens nøjagtige mål og omfang forbliver uklare, tyder brugen af Uptodown App Store-appen på et forsøg på at narre brugere til at downloade malwaren. Google kontaktede nyhedsmediet The Hacker News og oplyste, at ingen apps, der indeholder denne malware, i øjeblikket er på Google Play, og Android-enheder med Google Play Protect er automatisk beskyttet mod ondsindede apps, selvom de stammer fra andre steder end Google Play Butik.