Logiciel malveillant mobile Wpeeper
Les analystes en sécurité ont découvert un nouveau type de malware destiné aux appareils Android. Ce malware, nommé Wpeeper, était auparavant inconnu et utilise des sites WordPress compromis pour masquer ses connexions au serveur Command-and-Control (C2), ce qui le rend plus difficile à détecter. Wpeeper fonctionne comme un binaire ELF et utilise HTTPS pour une communication sécurisée avec ses serveurs C2.
Wpeeper fonctionne comme un cheval de Troie de porte dérobée standard pour Android, permettant diverses activités, notamment la collecte de données sensibles sur les appareils, la gestion de fichiers et de répertoires, les transferts de fichiers (téléchargement et téléchargement) et l'exécution de commandes à distance.
Table des matières
Le logiciel malveillant Wpeeper infecte les appareils via des applications Android compromises
Le binaire ELF compromis est dissimulé dans une version modifiée de l'application UPtodown App Store pour Android (nom du package « com.uptodown »), le fichier APK servant de support pour la porte dérobée, conçue pour éviter toute détection.
Le choix de l'application Uptodown App Store pour cette campagne suggère un effort visant à camoufler un marché d'applications tiers légitime et à inciter les utilisateurs sans méfiance à l'installer. Selon les statistiques d'Android-apk.org, la version compromise de l'application (5.92) a été téléchargée jusqu'à présent 2 609 fois.
Le logiciel malveillant Wpeeper utilise une architecture de commande et de contrôle complexe
Wpeeper utilise une architecture C2 sophistiquée qui implique des sites WordPress infectés agissant comme intermédiaires pour obscurcir ses véritables serveurs C2. Jusqu'à 45 serveurs C2 ont été identifiés au sein de cette infrastructure, dont neuf sont codés en dur dans les échantillons pour mettre à jour dynamiquement la liste C2.
Ces serveurs codés en dur ne sont pas de véritables C2 mais des redirecteurs C2 — leur objectif est de transmettre les requêtes du bot au C2 authentique, dans le but de protéger le véritable C2 de la détection. Cela a également fait craindre que les attaquants puissent contrôler directement certains des serveurs codés en dur, car il existe un risque de perdre l'accès au botnet si les administrateurs du site WordPress prennent conscience de la compromission et prennent des mesures correctives.
Les attaquants peuvent effectuer diverses actions intrusives sur les appareils infectés
Les commandes reçues du serveur C2 permettent au logiciel malveillant de collecter des détails sur l'appareil et les fichiers, de répertorier les applications installées, de mettre à jour le serveur C2, de télécharger et d'exécuter des charges utiles supplémentaires à partir du serveur C2 ou d'une URL spécifiée, et de s'auto-supprimer.
Les objectifs complets et la portée de la campagne ne sont actuellement pas clairs. On soupçonne néanmoins que cette tactique trompeuse aurait pu être utilisée pour augmenter les chiffres d'installation et ainsi révéler les capacités du logiciel malveillant.
Pour minimiser les dangers posés par de tels logiciels malveillants, il est crucial d'installer exclusivement des applications provenant de sources réputées et d'examiner attentivement les évaluations et les autorisations des applications avant de les télécharger.
