A Wpeeper Mobile Malware Android-eszközöket célozza meg
A kiberbiztonsággal foglalkozó kutatók új rosszindulatú programokat azonosítottak, amelyek Android-eszközöket céloznak meg. Erről a Wpeeper nevű kártevőről kiderült, hogy feltört WordPress-webhelyeket használt valódi parancs- és vezérlőszervereinek elfedésére, ami megnehezíti az észlelést.
A Wpeeper ELF binárisként készült, és HTTPS-en keresztül kommunikál a parancs- és vezérlési műveletek biztonsága érdekében. A QiAnXin XLab csapata szerint a Wpeeper backdoor trójaiként működik, lehetővé téve a támadók számára, hogy eszközadatokat gyűjtsenek, fájlokat kezeljenek és különféle parancsokat hajtsanak végre a fertőzött eszközökön.
A Wpeeper az UPtodown módosított verziójában fut
A rosszindulatú program az UPtodown App Store alkalmazás újracsomagolt verzióján keresztül terjed ("com.uptodown" csomagnévvel) Androidra. Ezt a megközelítést az észlelés elkerülésére használják, és a fertőzött APK-fájl a hátsó ajtó hordozójaként szolgál.
A QiAnXin XLab akkor fedezte fel a Wpeepert, amikor 2024. április 18-án észlelték a VirusTotalon, előzetes észlelés nélkül. A kampány négy nappal később hirtelen leállt.
A Wpeeper parancs- és vezérlési infrastruktúrája magában foglalja a fertőzött WordPress-webhelyek közvetítőként való használatát, akár 45 parancs- és vezérlőszerver azonosításával. Néhány ilyen kiszolgáló átirányítóként működik, és a kéréseket a tényleges parancs- és vezérlőkiszolgálókhoz továbbítja az észlelés elkerülése érdekében.
A rosszindulatú program lehetőségei közé tartozik az eszközadatok összegyűjtése, a telepített alkalmazások listázása, a parancs- és vezérlőszerverek listájának frissítése, további hasznos adatok letöltése és öntörlés.
Bár a kampány pontos céljai és mértéke továbbra is tisztázatlan, az Uptodown App Store alkalmazás használata arra utal, hogy megpróbálják megtéveszteni a felhasználókat a rosszindulatú program letöltésével. A Google felvette a kapcsolatot a The Hacker News hírügynökséggel, és kijelentette, hogy jelenleg egyetlen ilyen rosszindulatú programot tartalmazó alkalmazás sem található a Google Playen, és a Google Play Protect szolgáltatással rendelkező Android-eszközöket automatikusan védik a rosszindulatú alkalmazások ellen, még akkor is, ha azok a Google Play Áruháztól eltérő helyekről származnak.