Исследователи кибербезопасности обнаружили ранее недокументированное вредоносное ПО, нацеленное на устройства Android, которое использует скомпрометированные сайты WordPress в качестве ретрансляторов для своих реальных серверов командования и контроля (C2) для уклонения от обнаружения.
Вредоносная программа под кодовым названием Wpeeper представляет собой двоичный файл ELF, который использует протокол HTTPS для защиты своих коммуникаций C2.
"Wpeeper - типичный троянец-бэкдор для систем Android, поддерживающий такие функции, как сбор конфиденциальной информации об устройстве, управление файлами и каталогами, загрузка и раскачка, а также выполнение команд", - сказали исследователи из команды QiAnXin XLab.
Двоичный файл ELF встроен в переупакованное приложение, которое претендует на роль приложения из UPtodown App Store для Android (название пакета "com.uptodown"), при этом APK-файл действует как средство доставки бэкдора таким образом, что его невозможно обнаружить.
Китайская компания по кибербезопасности заявила, что обнаружила вредоносное ПО после того, как 18 апреля 2024 года обнаружила артефакт Wpeeper с нулевым обнаружением на платформе VirusTotal. Говорят, что кампания внезапно завершилась четыре дня спустя.
Использование приложения Uptodown App Store для кампании указывает на попытку подделать законный рынок приложений сторонних производителей и обманом заставить ничего не подозревающих пользователей установить его. Согласно статистике на странице Android-apk.org, троянскую версию приложения (5.92) на сегодняшний день скачали 2609 раз.
Wpeeper полагается на многоуровневую архитектуру C2, которая использует зараженные сайты WordPress в качестве посредника для сокрытия своих истинных серверов C2. Было идентифицировано 45 серверов C2 как часть инфраструктуры, девять из которых жестко запрограммированы в примерах и используются для обновления списка C2 "на лету".
"Эти [жестко запрограммированные серверы] являются не C2, а перенаправителями C2 - их роль заключается в пересылке запросов бота реальному C2, направленных на защиту реального C2 от обнаружения", - сказали исследователи.
Это также повысило вероятность того, что некоторые из жестко запрограммированных серверов находятся непосредственно под их контролем, поскольку существует риск потери доступа к ботнету, если администраторы сайта WordPress узнают о компрометации и предпримут шаги по ее исправлению.
Команды, получаемые с сервера C2, позволяют вредоносному ПО собирать информацию об устройстве и файлах, список установленных приложений, обновлять сервер C2, загружать и выполнять дополнительные полезные нагрузки с сервера C2 или произвольный URL-адрес и самоудаляться.
Точные цели и масштаб кампании в настоящее время неизвестны, хотя есть подозрение, что скрытый метод мог быть использован для увеличения количества установок, а затем раскрытия возможностей вредоносного ПО.
Чтобы снизить риски, связанные с таким вредоносным ПО, всегда рекомендуется устанавливать приложения только из надежных источников и тщательно изучать обзоры приложений и разрешения перед их загрузкой.
Вредоносная программа под кодовым названием Wpeeper представляет собой двоичный файл ELF, который использует протокол HTTPS для защиты своих коммуникаций C2.
"Wpeeper - типичный троянец-бэкдор для систем Android, поддерживающий такие функции, как сбор конфиденциальной информации об устройстве, управление файлами и каталогами, загрузка и раскачка, а также выполнение команд", - сказали исследователи из команды QiAnXin XLab.
Двоичный файл ELF встроен в переупакованное приложение, которое претендует на роль приложения из UPtodown App Store для Android (название пакета "com.uptodown"), при этом APK-файл действует как средство доставки бэкдора таким образом, что его невозможно обнаружить.
Китайская компания по кибербезопасности заявила, что обнаружила вредоносное ПО после того, как 18 апреля 2024 года обнаружила артефакт Wpeeper с нулевым обнаружением на платформе VirusTotal. Говорят, что кампания внезапно завершилась четыре дня спустя.
Использование приложения Uptodown App Store для кампании указывает на попытку подделать законный рынок приложений сторонних производителей и обманом заставить ничего не подозревающих пользователей установить его. Согласно статистике на странице Android-apk.org, троянскую версию приложения (5.92) на сегодняшний день скачали 2609 раз.
Wpeeper полагается на многоуровневую архитектуру C2, которая использует зараженные сайты WordPress в качестве посредника для сокрытия своих истинных серверов C2. Было идентифицировано 45 серверов C2 как часть инфраструктуры, девять из которых жестко запрограммированы в примерах и используются для обновления списка C2 "на лету".
"Эти [жестко запрограммированные серверы] являются не C2, а перенаправителями C2 - их роль заключается в пересылке запросов бота реальному C2, направленных на защиту реального C2 от обнаружения", - сказали исследователи.
Это также повысило вероятность того, что некоторые из жестко запрограммированных серверов находятся непосредственно под их контролем, поскольку существует риск потери доступа к ботнету, если администраторы сайта WordPress узнают о компрометации и предпримут шаги по ее исправлению.
Команды, получаемые с сервера C2, позволяют вредоносному ПО собирать информацию об устройстве и файлах, список установленных приложений, обновлять сервер C2, загружать и выполнять дополнительные полезные нагрузки с сервера C2 или произвольный URL-адрес и самоудаляться.
Точные цели и масштаб кампании в настоящее время неизвестны, хотя есть подозрение, что скрытый метод мог быть использован для увеличения количества установок, а затем раскрытия возможностей вредоносного ПО.
Чтобы снизить риски, связанные с таким вредоносным ПО, всегда рекомендуется устанавливать приложения только из надежных источников и тщательно изучать обзоры приложений и разрешения перед их загрузкой.
