Το κακόβουλο λογισμικό Wpeeper Mobile στοχεύει συσκευές Android
Ερευνητές στον τομέα της κυβερνοασφάλειας εντόπισαν νέο κακόβουλο λογισμικό που στοχεύει συσκευές Android. Αυτό το κακόβουλο λογισμικό, που ονομάζεται Wpeeper, βρέθηκε ότι χρησιμοποιεί παραβιασμένους ιστότοπους WordPress για να κρύψει τους πραγματικούς διακομιστές εντολών και ελέγχου του, γεγονός που καθιστά δύσκολο τον εντοπισμό του.
Το Wpeeper έχει σχεδιαστεί ως δυαδικό ELF και επικοινωνεί μέσω HTTPS για να εξασφαλίσει τις λειτουργίες εντολής και ελέγχου. Σύμφωνα με την ομάδα του QiAnXin XLab, το Wpeeper λειτουργεί ως backdoor Trojan, επιτρέποντας στους εισβολείς να συλλέγουν δεδομένα συσκευής, να διαχειρίζονται αρχεία και να εκτελούν διάφορες εντολές σε μολυσμένες συσκευές.
Το Wpeeper περνά μέσα σε μια τροποποιημένη έκδοση του UPtodown
Το κακόβουλο λογισμικό διανέμεται μέσω μιας ανασυσκευασμένης έκδοσης της εφαρμογής UPtodown App Store (με όνομα πακέτου "com.uptodown") για Android. Αυτή η προσέγγιση χρησιμοποιείται για την αποφυγή εντοπισμού, με το μολυσμένο αρχείο APK να χρησιμεύει ως φορέας για την κερκόπορτα.
Το QiAnXin XLab ανακάλυψε το Wpeeper όταν το εντόπισε στο VirusTotal στις 18 Απριλίου 2024, χωρίς προηγούμενη ανίχνευση. Η εκστρατεία σταμάτησε απότομα τέσσερις ημέρες αργότερα.
Η υποδομή εντολών και ελέγχου του Wpeeper περιλαμβάνει τη χρήση μολυσμένων τοποθεσιών WordPress ως μεσάζοντες, με εντοπισμένους έως και 45 διακομιστές εντολών και ελέγχου. Μερικοί από αυτούς τους διακομιστές λειτουργούν ως ανακατευθυντές, προωθώντας αιτήματα στους πραγματικούς διακομιστές εντολών και ελέγχου για να αποφευχθεί ο εντοπισμός.
Οι δυνατότητες του κακόβουλου λογισμικού περιλαμβάνουν τη συλλογή πληροφοριών συσκευής, την καταχώριση εγκατεστημένων εφαρμογών, την ενημέρωση της λίστας διακομιστών εντολών και ελέγχου, τη λήψη πρόσθετων ωφέλιμων φορτίων και την αυτοδιαγραφή.
Αν και οι ακριβείς στόχοι και η κλίμακα της καμπάνιας παραμένουν ασαφείς, η χρήση της εφαρμογής Uptodown App Store υποδηλώνει μια προσπάθεια εξαπάτησης των χρηστών ώστε να κατεβάσουν το κακόβουλο λογισμικό. Η Google επικοινώνησε με το ειδησεογραφικό πρακτορείο The Hacker News και δήλωσε ότι δεν υπάρχουν εφαρμογές που περιέχουν αυτό το κακόβουλο λογισμικό επί του παρόντος στο Google Play και ότι οι συσκευές Android με Google Play Protect προστατεύονται αυτόματα από κακόβουλες εφαρμογές, ακόμη και αν προέρχονται από τοποθεσίες διαφορετικές από το Google Play store.