Хакеры начали распространять новое вредоносное ПО для операционной системы Android под названием Wpeeper. Это вредоносная активность специалистами по информационной безопасности была обнаружена как минимум в двух неофициальных магазинах приложений, которые имитируют Uptodown App Store, популярный сторонний магазин приложений для устройств Android с более чем 220 миллионами загрузок, сообщает издание Bleeping Computer.
Wpeeper в процессе своей работы использует скомпрометированные сайты WordPress в качестве ретрансляторов для своих реальных серверов управления и контроля (C2), выступая в качестве механизма уклонения.
Вредоносное ПО для Android было обнаружено 18 апреля 2024 года командой XLab компании QAX при исследовании ранее неизвестного файла ELF, встроенного в APK (файлы пакетов Android), который не был обнаружен Virus Total.
Аналитики XLab заявили, что эта киберпреступная операция внезапно прекратилась 22 апреля, предположительно в рамках стратегического решения хакеров «вести себя сдержанно» и избежать обнаружения специалистами по безопасности и автоматизированными системами.
На основании данных Google и Passive DNS, эксперты из XLab пришли к выводу, что к моменту своего обнаружения Wpeeper уже заразил тысячи устройств, но реальный масштаб операций остаётся неизвестным.
Новая система связи C2 от Wpeeper построена так, чтобы использовать взломанные сайты WordPress и промежуточные точки ретрансляции, скрывая местоположение и идентичность её реальных серверов C2. Любые команды, отправленные с C2 ботам, пересылаются через эти сайты, а также дополнительно шифруются AES и подписываются эллиптической кривой, чтобы предотвратить захват неавторизованными третьими лицами.
Wpeeper может динамически обновлять свои серверы C2 посредством приёма соответствующей команды, поэтому, если сайт WordPress очищен, в ботнет могут быть отправлены новые точки ретрансляции на разных сайтах. Использование нескольких взломанных сайтов на разных хостах и в разных местах повышает устойчивость механизма C2, затрудняя завершение операции или даже нарушение обмена данными на одном зараженном устройстве Android.
Оригинал публикации на сайте CISOCLUB: "Новый вредонос для Android заражает устройства пользователей через взломанные сайты WordPress".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.
