Ειδικοί στην κυβερνοασφάλεια ανακάλυψαν ένα μέχρι τώρα άγνωστο malware (κακόβουλο λογισμικό), το Wpeeper, το οποίο επιτίθεται σε συσκευές Android, χρησιμοποιώντας ως αναμεταδότες, παραβιασμένους ιστότοπους WordPress.
Αυτό γίνεται για να αποκρύπτουν τους πραγματικούς διακομιστές εντολών και ελέγχου (C2), δυσκολεύοντας έτσι τον εντοπισμό τους.
Το Wpeeper malware, είναι ένα δυαδικό (binary) ELF που αξιοποιεί το πρωτόκολλο HTTPS για να εξασφαλίσει ασφαλείς επικοινωνίες με τον διακομιστή ελέγχου και διαχείρισης (C2).
Διαβάστε επίσης: Cuttlefish Malware: Παραβιάζει routers με σκοπό την κρυφή παρακολούθηση
“Το Wpeeper αποτελεί έναν προηγμένο Trojan backdoor για συστήματα Android, ενσωματώνοντας δυνατότητες όπως η εξαγωγή ευαίσθητων δεδομένων της συσκευής, η διαχείριση αρχείων και φακέλων, η αποστολή και λήψη δεδομένων, καθώς και η εκτέλεση εντολών”, αναφέρουν οι ερευνητές της ομάδας QiAnXin XLab.
Το δυαδικό ELF είναι ενσωματωμένο σε μια εφαρμογή που υποτίθεται ότι είναι η εφαρμογή UPtodown App Store για Android (όνομα “com.uptodown”), με το αρχείο APK να λειτουργεί ως διαμεσολαβητής του backdoor, με τρόπο που αποφεύγει τον εντοπισμό.
Η κινεζική εταιρεία κυβερνοασφάλειας ανακοίνωσε την ανακάλυψη κακόβουλου λογισμικού, αφού εντόπισε ένα πρόγραμμα Wpeeper με μηδενική ανίχνευση στην πλατφόρμα VirusTotal στις 18 Απριλίου 2024. Η εν λόγω καμπάνια φαίνεται να έληξε απότομα τέσσερις ημέρες μετά.
Η επιλογή της Uptodown App Store για την εκστρατεία αυτή αποτελεί μια προσπάθεια απαλοιφής μιας νόμιμης αγοράς third-party εφαρμογών, παραπλανώντας τους ανυποψίαστους χρήστες να την εγκαταστήσουν. Όπως αναφέρουν στατιστικά στοιχεία από το Android-apk.org, στην έκδοση της εφαρμογής που περιέχει trojan (έκδοση 5.92) έχει ήδη γίνει λήψη 2.609 φορές μέχρι στιγμής.
Το Wpeeper είναι κατασκευασμένο βάσει της τακτικής C2, όπου χρησιμοποιούνται μολυσμένα sites WordPress ως διαμεσολαβητές για να αποκρύψουν τους πραγματικούς τους διακομιστές C2. Αναγνωρίστηκαν μέχρι και 45 διακομιστές C2 στην υποδομή του, εκ των οποίων εννέα είναι προγραμματισμένοι στα δείγματα και χρησιμοποιούνται για την άμεση ενημέρωση της λίστας C2.
«Οι συγκεκριμένοι [σκληρά κωδικοποιημένοι διακομιστές] δεν λειτουργούν ως κύριοι C2 αλλά ως C2 διαμεσολαβητές. Ο ρόλος τους είναι να δράσουν ως αναμεταδότες, προωθώντας τα αιτήματα του bot προς τον πραγματικό C2, με τελικό σκοπό την προστασία του από ενδεχόμενη ανίχνευση», δήλωσαν οι ερευνητές.
Αυτό έχει ενισχύσει την πιθανότητα ορισμένων διακομιστών με ισχυρό κωδικό να τεθούν άμεσα υπό την εποπτεία τους, παρέχοντας μια υψηλή πιθανότητα απώλειας πρόσβασης στο botnet εάν οι διαχειριστές του WordPress ανακαλύψουν την παραβίαση και ενεργήσουν για την επιδιόρθωσή της.
Οι εντολές που λαμβάνονται από τον διακομιστή C2 δίνουν τη δυνατότητα στο κακόβουλο λογισμικό να συλλέγει δεδομένα από τις συσκευές και τα αρχεία, να ανακτά λίστες με τις εγκατεστημένες εφαρμογές, να στέλνει ενημερώσεις πίσω στον διακομιστή C2, να κάνει λήψη και να τρέχει νέα πρόσθετα φορτία που προέρχονται από τον ίδιο διακομιστή ή από μια οποιαδήποτε διεύθυνση URL, και τέλος, να αυτοκαταστρέφεται.
Δείτε ακόμη: Νέες επιθέσεις Latrodectus malware χρησιμοποιούν θέματα Microsoft
Οι ακριβείς στόχοι και η έκταση της εν λόγω καμπάνιας παραμένουν αδιευκρίνιστοι, όμως υπάρχει η υπόνοια ότι μπορεί να έχει χρησιμοποιηθεί μια ύπουλη τακτική για την τεχνητή αύξηση των αριθμών εγκατάστασης, προκαλώντας στη συνέχεια την αποκάλυψη των επιβλαβών δυνατοτήτων του κακόβουλου λογισμικού.
Για να μειώσετε τους κινδύνους που συνεπάγεται η χρήση κακόβουλου λογισμικού, συστήνεται η εγκατάσταση εφαρμογών αποκλειστικά από αξιόπιστες πηγές. Επιπλέον, είναι σημαντικό να αξιολογείτε τις κριτικές και να επαληθεύετε τις άδειες των εφαρμογών πριν προβείτε στη λήψη τους.
Πηγή: thehackernews
, το Wpeeper, το οποίο επιτίθεται σε συσκευές Android, χρησιμοποιώντας ως αναμεταδότες, παραβιασμένους ιστότοπους WordPress.){kind=link}