Android 恶意软件 Wpeeper 使用受感染的 WordPress 网站来隐藏 C2 服务器

网络安全研究人员发现了一种以前未记录的针对 Android 设备的恶意软件，该恶意软件使用受感染的 WordPress 网站作为其实际命令和控制 （C2） 服务器的中继，以逃避检测。

该恶意软件的代号为 Wpeeper，是一种 ELF 二进制文件，它利用 HTTPS 协议来保护其 C2 通信。

“Wpeeper是Android系统的典型后门木马，支持收集敏感设备信息，管理文件和目录，上传和下载以及执行命令等功能，”QiAnXin XLab团队的研究人员说。

ELF二进制文件被嵌入到一个重新打包的应用程序中，该应用程序声称是适用于Android的UPtodown App Store应用程序（软件包名称“com.uptodown”），APK文件以逃避检测的方式充当后门的传递工具。

这家中国网络安全公司表示，它在 2024 年 4 月 18 日在 VirusTotal 平台上检测到零检测的 Wpeeper 工件后发现了该恶意软件。据说这场运动在四天后突然结束。

使用Uptodown App Store应用程序进行活动表明，有人试图冒充合法的第三方应用程序市场，并诱骗毫无戒心的用户安装它。根据 Android-apk.org 上的统计数据，该应用程序的木马版本 （5.92） 迄今为止已被下载 2,609 次。

Wpeeper 依赖于多层 C2 架构，该架构使用受感染的 WordPress 站点作为中介来掩盖其真正的 C2 服务器。多达 45 台 C2 服务器已被确定为基础架构的一部分，其中 9 台被硬编码到示例中，用于动态更新 C2 列表。

研究人员说：“这些[硬编码服务器]不是C2，而是C2重定向器 - 它们的作用是将机器人的请求转发给真正的C2，旨在保护实际的C2不被检测到。

这也增加了一些硬编码服务器直接受其控制的可能性，因为如果 WordPress 网站管理员了解入侵并采取措施纠正它，则存在失去对僵尸网络的访问权限的风险。

从 C2 服务器检索到的命令允许恶意软件收集设备和文件信息、已安装应用程序列表、更新 C2 服务器、从 C2 服务器或任意 URL 下载和执行其他有效负载，以及自行删除。

该活动的确切目标和规模目前尚不清楚，尽管怀疑这种偷偷摸摸的方法可能被用来增加安装数量，然后揭示恶意软件的功能。

为了降低此类恶意软件带来的风险，始终建议仅从受信任的来源安装应用程序，并在下载之前仔细检查应用程序评论和权限。

来源：【黑客新闻网】

原文始发于微信公众号（船山信安）：Android 恶意软件 Wpeeper 使用受感染的 WordPress 网站来隐藏 C2 服务器