Il malware mobile Wpeeper prende di mira i dispositivi Android
I ricercatori nel campo della sicurezza informatica hanno identificato un nuovo malware che prende di mira i dispositivi Android. È stato scoperto che questo malware, denominato Wpeeper, utilizza siti Web WordPress compromessi per mascherare i suoi veri server di comando e controllo, rendendoli difficili da rilevare.
Wpeeper è progettato come binario ELF e comunica tramite HTTPS per proteggere le sue operazioni di comando e controllo. Secondo il team QiAnXin XLab, Wpeeper agisce come un trojan backdoor, consentendo agli aggressori di raccogliere dati sui dispositivi, gestire file ed eseguire vari comandi sui dispositivi infetti.
Wpeeper viaggia all'interno di una versione modificata di UPtodown
Il malware viene distribuito tramite una versione riconfezionata dell'app UPtodown App Store (con il nome del pacchetto "com.uptodown") per Android. Questo approccio viene utilizzato per eludere il rilevamento, con il file APK infetto che funge da vettore per la backdoor.
QiAnXin XLab ha scoperto Wpeeper quando lo ha rilevato su VirusTotal il 18 aprile 2024, senza alcun rilevamento precedente. La campagna cessò bruscamente quattro giorni dopo.
L'infrastruttura di comando e controllo di Wpeeper prevede l'utilizzo di siti WordPress infetti come intermediari, con un massimo di 45 server di comando e controllo identificati. Alcuni di questi server fungono da reindirizzatori, inoltrando le richieste ai server di comando e controllo effettivi per evitare il rilevamento.
Le funzionalità del malware includono la raccolta di informazioni sul dispositivo, l'elenco delle app installate, l'aggiornamento dell'elenco dei server di comando e controllo, il download di payload aggiuntivi e l'autoeliminazione.
Anche se gli obiettivi esatti e la portata della campagna rimangono poco chiari, l'uso dell'app Uptodown App Store suggerisce un tentativo di ingannare gli utenti inducendoli a scaricare il malware. Google ha contattato il punto vendita The Hacker News e ha dichiarato che nessuna app contenente questo malware è attualmente su Google Play e che i dispositivi Android con Google Play Protect sono automaticamente protetti dalle app dannose, anche se provengono da posizioni diverse dal Google Play Store.
