Wpeeper Mobile Malware
Sicherheitsanalysten haben eine neue Art von Malware entdeckt, die auf Android-Geräte abzielt. Diese Malware namens Wpeeper war bisher unbekannt und nutzt kompromittierte WordPress-Sites, um ihre Command-and-Control-Serververbindungen (C2) zu maskieren, was ihre Erkennung erschwert. Wpeeper arbeitet als ELF-Binärdatei und verwendet HTTPS für die sichere Kommunikation mit seinen C2-Servern.
Wpeeper fungiert als Standard-Backdoor-Trojaner für Android und ermöglicht verschiedene Aktivitäten, darunter das Sammeln vertraulicher Gerätedaten, Datei- und Verzeichnisverwaltung, Dateiübertragungen (Hoch- und Herunterladen) und die Remoteausführung von Befehlen.
Inhaltsverzeichnis
Die Wpeeper-Malware infiziert Geräte über kompromittierte Android-Anwendungen
Die kompromittierte ELF-Binärdatei ist in einer modifizierten Version der UPtodown-App-Store-Anwendung für Android (Paketname „com.uptodown“) verborgen, wobei die APK-Datei als Träger für die Hintertür dient und so konzipiert ist, dass sie nicht erkannt wird.
Die Wahl der Uptodown App Store-App für diese Kampagne deutet auf den Versuch hin, einen legitimen App-Marktplatz eines Drittanbieters zu tarnen und ahnungslose Benutzer dazu zu verleiten, diese zu installieren. Laut Statistiken von Android-apk.org wurde die kompromittierte Version der App (5.92) bisher 2.609 Mal heruntergeladen.
Die Wpeeper-Malware nutzt eine komplexe Command-and-Control-Architektur
Wpeeper verwendet eine ausgeklügelte C2-Architektur, bei der infizierte WordPress-Sites als Vermittler fungieren, um die echten C2-Server zu verschleiern. Innerhalb dieser Infrastruktur wurden bis zu 45 C2-Server identifiziert, von denen neun fest in die Samples einprogrammiert sind, um die C2-Liste dynamisch zu aktualisieren.
Diese fest codierten Server sind keine echten C2s, sondern C2-Umleiter. Ihr Zweck besteht darin, die Anfragen des Bots an den authentischen C2 weiterzuleiten, um den echten C2 vor Entdeckung zu schützen. Dies hat auch die Befürchtung geweckt, dass die Angreifer einige der fest codierten Server direkt kontrollieren könnten, da das Risiko besteht, den Zugriff auf das Botnetz zu verlieren, wenn die WordPress-Site-Administratoren von der Gefährdung erfahren und Abhilfemaßnahmen ergreifen.
Angreifer können auf infizierten Geräten verschiedene aufdringliche Aktionen ausführen
Vom C2-Server empfangene Befehle ermöglichen es der Schadsoftware, Geräte- und Dateidetails zu erfassen, installierte Anwendungen aufzulisten, den C2-Server zu aktualisieren, zusätzliche Payloads vom C2-Server oder einer angegebenen URL herunterzuladen und auszuführen sowie sich selbst zu entfernen.
Die genauen Ziele und der Umfang der Kampagne sind derzeit noch unklar. Dennoch besteht der Verdacht, dass diese betrügerische Taktik eingesetzt wurde, um die Installationszahlen zu steigern und anschließend die Fähigkeiten der Malware offenzulegen.
Um die Gefahren durch solche Malware zu minimieren, ist es wichtig, ausschließlich Apps aus vertrauenswürdigen Quellen zu installieren und die Bewertungen und Berechtigungen der Anwendungen vor dem Herunterladen sorgfältig zu prüfen.
