Le logiciel malveillant Wpeeper Mobile cible les appareils Android
Les chercheurs en cybersécurité ont identifié de nouveaux logiciels malveillants ciblant les appareils Android. Ce malware, nommé Wpeeper, utilise des sites Web WordPress compromis pour masquer ses véritables serveurs de commande et de contrôle, ce qui le rend difficile à détecter.
Wpeeper est conçu comme un binaire ELF et communique via HTTPS pour sécuriser ses opérations de commande et de contrôle. Selon l'équipe QiAnXin XLab, Wpeeper agit comme un cheval de Troie de porte dérobée, permettant aux attaquants de collecter des données sur les appareils, de gérer des fichiers et d'exécuter diverses commandes sur les appareils infectés.
Wpeeper monte dans une version modifiée d'UPtodown
Le malware est distribué via une version reconditionnée de l'application UPtodown App Store (avec le nom de package « com.uptodown ») pour Android. Cette approche est utilisée pour échapper à la détection, le fichier APK infecté servant de support pour la porte dérobée.
QiAnXin XLab a découvert Wpeeper lorsqu'il l'a détecté sur VirusTotal le 18 avril 2024, sans détection préalable. La campagne s'est brusquement arrêtée quatre jours plus tard.
L'infrastructure de commande et de contrôle de Wpeeper implique l'utilisation de sites WordPress infectés comme intermédiaires, avec jusqu'à 45 serveurs de commande et de contrôle identifiés. Certains de ces serveurs agissent comme des redirecteurs, transmettant les requêtes aux serveurs de commande et de contrôle réels pour éviter toute détection.
Les capacités du logiciel malveillant incluent la collecte d'informations sur les appareils, la liste des applications installées, la mise à jour de sa liste de serveurs de commande et de contrôle, le téléchargement de charges utiles supplémentaires et l'auto-suppression.
Bien que les objectifs exacts et l'ampleur de la campagne restent flous, l'utilisation de l'application Uptodown App Store suggère une tentative de tromper les utilisateurs pour qu'ils téléchargent le malware. Google a contacté le média The Hacker News et a déclaré qu'aucune application contenant ce malware n'est actuellement sur Google Play et que les appareils Android dotés de Google Play Protect sont automatiquement protégés contre les applications malveillantes, même si elles proviennent d'emplacements différents du Google Play Store.