„Wpeeper Mobile“ kenkėjiška programa skirta „Android“ įrenginiams

Kibernetinio saugumo tyrėjai nustatė naują kenkėjišką programą, nukreiptą į „Android“ įrenginius. Nustatyta, kad ši kenkėjiška programa, pavadinta „Wpeeper“, naudoja pažeistas „WordPress“ svetaines, kad užmaskuotų tikruosius komandų ir valdymo serverius, todėl ją sunku aptikti.

„Wpeeper“ sukurtas kaip ELF dvejetainis failas ir palaiko ryšį per HTTPS, kad apsaugotų savo komandų ir valdymo operacijas. Pasak QiAnXin XLab komandos, Wpeeper veikia kaip užpakalinių durų Trojos arklys, leidžiantis užpuolikams rinkti įrenginio duomenis, tvarkyti failus ir vykdyti įvairias komandas užkrėstuose įrenginiuose.

„Wpeeper“ važiuoja modifikuotoje „UPtodown“ versijoje

Kenkėjiška programa platinama per perpakuotą „Android“ skirtos „UPtodown App Store“ programos versiją (paketo pavadinimu „com.uptodown“). Šis metodas naudojamas siekiant išvengti aptikimo, o užkrėstas APK failas yra užpakalinių durų nešiklis.

„QiAnXin XLab“ atrado „Wpeeper“, kai aptiko jį „VirusTotal“ 2024 m. balandžio 18 d., be išankstinio aptikimo. Kampanija staiga nutrūko po keturių dienų.

„Wpeeper“ komandų ir valdymo infrastruktūra apima užkrėstų „WordPress“ svetainių naudojimą kaip tarpininkus su identifikuotais iki 45 komandų ir valdymo serverių. Kai kurie iš šių serverių veikia kaip peradresatoriai, persiunčiantys užklausas tikriems komandų ir valdymo serveriams, kad būtų išvengta aptikimo.

Kenkėjiškos programos galimybės apima įrenginio informacijos rinkimą, įdiegtų programų sąrašą, komandų ir valdymo serverių sąrašo atnaujinimą, papildomų naudingų apkrovų atsisiuntimą ir savęs ištrynimą.

Nors tikslūs kampanijos tikslai ir mastas lieka neaiškūs, „Uptodown App Store“ programos naudojimas rodo bandymą apgauti vartotojus, kad jie atsisiųstų kenkėjišką programą. „Google“ susisiekė su naujienų agentūra „The Hacker News“ ir pareiškė, kad šiuo metu „Google Play“ nėra programų, kuriose būtų ši kenkėjiška programa, o „Android“ įrenginiai su „Google Play Protect“ yra automatiškai apsaugoti nuo kenkėjiškų programų, net jei jos kilusios iš kitų vietų nei „Google Play“ parduotuvė.