Android 恶意软件 Wpeeper 使用受感染的 WordPress 网站来隐藏 C2 服务器

admin 2024年5月4日07:16:16评论19 views字数 1023阅读3分24秒阅读模式

网络安全研究人员发现了一种以前未记录的针对 Android 设备的恶意软件,该恶意软件使用受感染的 WordPress 网站作为其实际命令和控制 (C2) 服务器的中继,以逃避检测。

该恶意软件的代号为 Wpeeper,是一种 ELF 二进制文件,它利用 HTTPS 协议来保护其 C2 通信。

“Wpeeper是Android系统的典型后门木马,支持收集敏感设备信息,管理文件和目录,上传和下载以及执行命令等功能,”QiAnXin XLab团队的研究人员说。

ELF二进制文件被嵌入到一个重新打包的应用程序中,该应用程序声称是适用于Android的UPtodown App Store应用程序(软件包名称“com.uptodown”),APK文件以逃避检测的方式充当后门的传递工具。

这家中国网络安全公司表示,它在 2024 年 4 月 18 日在 VirusTotal 平台上检测到零检测的 Wpeeper 工件后发现了该恶意软件。据说这场运动在四天后突然结束。

使用Uptodown App Store应用程序进行活动表明,有人试图冒充合法的第三方应用程序市场,并诱骗毫无戒心的用户安装它。根据 Android-apk.org 上的统计数据,该应用程序的木马版本 (5.92) 迄今为止已被下载 2,609 次。

Wpeeper 依赖于多层 C2 架构,该架构使用受感染的 WordPress 站点作为中介来掩盖其真正的 C2 服务器。多达 45 台 C2 服务器已被确定为基础架构的一部分,其中 9 台被硬编码到示例中,用于动态更新 C2 列表。

研究人员说:“这些[硬编码服务器]不是C2,而是C2重定向器 - 它们的作用是将机器人的请求转发给真正的C2,旨在保护实际的C2不被检测到。

这也增加了一些硬编码服务器直接受其控制的可能性,因为如果 WordPress 网站管理员了解入侵并采取措施纠正它,则存在失去对僵尸网络的访问权限的风险。

从 C2 服务器检索到的命令允许恶意软件收集设备和文件信息、已安装应用程序列表、更新 C2 服务器、从 C2 服务器或任意 URL 下载和执行其他有效负载,以及自行删除。

该活动的确切目标和规模目前尚不清楚,尽管怀疑这种偷偷摸摸的方法可能被用来增加安装数量,然后揭示恶意软件的功能。

为了降低此类恶意软件带来的风险,始终建议仅从受信任的来源安装应用程序,并在下载之前仔细检查应用程序评论和权限。

来源:【黑客新闻网】

原文始发于微信公众号(船山信安):Android 恶意软件 Wpeeper 使用受感染的 WordPress 网站来隐藏 C2 服务器

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年5月4日07:16:16
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Android 恶意软件 Wpeeper 使用受感染的 WordPress 网站来隐藏 C2 服务器https://cn-sec.com/archives/2708006.html

发表评论

匿名网友 填写信息