网络安全研究人员发现了一种以前未记录的针对 Android 设备的恶意软件,该恶意软件使用受感染的 WordPress 网站作为其实际命令和控制 (C2) 服务器的中继,以逃避检测。
该恶意软件的代号为 Wpeeper,是一种 ELF 二进制文件,它利用 HTTPS 协议来保护其 C2 通信。
“Wpeeper是Android系统的典型后门木马,支持收集敏感设备信息,管理文件和目录,上传和下载以及执行命令等功能,”QiAnXin XLab团队的研究人员说。
ELF二进制文件被嵌入到一个重新打包的应用程序中,该应用程序声称是适用于Android的UPtodown App Store应用程序(软件包名称“com.uptodown”),APK文件以逃避检测的方式充当后门的传递工具。
这家中国网络安全公司表示,它在 2024 年 4 月 18 日在 VirusTotal 平台上检测到零检测的 Wpeeper 工件后发现了该恶意软件。据说这场运动在四天后突然结束。
使用Uptodown App Store应用程序进行活动表明,有人试图冒充合法的第三方应用程序市场,并诱骗毫无戒心的用户安装它。根据 Android-apk.org 上的统计数据,该应用程序的木马版本 (5.92) 迄今为止已被下载 2,609 次。
Wpeeper 依赖于多层 C2 架构,该架构使用受感染的 WordPress 站点作为中介来掩盖其真正的 C2 服务器。多达 45 台 C2 服务器已被确定为基础架构的一部分,其中 9 台被硬编码到示例中,用于动态更新 C2 列表。
研究人员说:“这些[硬编码服务器]不是C2,而是C2重定向器 - 它们的作用是将机器人的请求转发给真正的C2,旨在保护实际的C2不被检测到。
这也增加了一些硬编码服务器直接受其控制的可能性,因为如果 WordPress 网站管理员了解入侵并采取措施纠正它,则存在失去对僵尸网络的访问权限的风险。
从 C2 服务器检索到的命令允许恶意软件收集设备和文件信息、已安装应用程序列表、更新 C2 服务器、从 C2 服务器或任意 URL 下载和执行其他有效负载,以及自行删除。
该活动的确切目标和规模目前尚不清楚,尽管怀疑这种偷偷摸摸的方法可能被用来增加安装数量,然后揭示恶意软件的功能。
为了降低此类恶意软件带来的风险,始终建议仅从受信任的来源安装应用程序,并在下载之前仔细检查应用程序评论和权限。
来源:【黑客新闻网】
原文始发于微信公众号(船山信安):Android 恶意软件 Wpeeper 使用受感染的 WordPress 网站来隐藏 C2 服务器
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论