Cybersecurity-onderzoekers hebben een voorheen ongedocumenteerde malware ontdekt die zich richt op Android-apparaten en die gecompromitteerde WordPress-sites gebruikt als relais voor de daadwerkelijke command-and-control (C2)-servers voor het ontwijken van detectie.
De malware, met codenaam Wpeeperis een binair ELF-bestand dat gebruikmaakt van het HTTPS-protocol om de C2-communicatie te beveiligen.
“Wpeeper is een typische achterdeurtrojan voor Android-systemen, die functies ondersteunt zoals het verzamelen van gevoelige apparaatinformatie, het beheren van bestanden en mappen, uploaden en downloaden en het uitvoeren van opdrachten”, aldus onderzoekers van het QiAnXin XLab-team.
Het ELF-binaire bestand is ingebed in een opnieuw verpakte applicatie die zich voordoet als de UPtodown App Store-app voor Android (pakketnaam “com.uptodown”), waarbij het APK-bestand fungeert als een bezorgvoertuig voor de achterdeur op een manier die detectie omzeilt.
Het Chinese cyberbeveiligingsbedrijf zei dat het de malware ontdekte nadat het op 18 april 2024 een Wpeeper-artefact zonder detectie op het VirusTotal-platform had gedetecteerd. Vier dagen later zou de campagne abrupt zijn beëindigd.
Het gebruik van de Uptodown App Store-app voor de campagne duidt op een poging om een legitieme app-marktplaats van derden te laten mislukken en nietsvermoedende gebruikers te misleiden om deze te installeren. Volgens statistieken op Android-apk.org is de getrojaniseerde versie van de app (5.92) tot nu toe 2.609 keer gedownload.
Wpeeper vertrouwt op een meerlaagse C2-architectuur die geïnfecteerde WordPress-sites als tussenpersoon gebruikt om de echte C2-servers te verdoezelen. Er zijn maar liefst 45 C2-servers geïdentificeerd als onderdeel van de infrastructuur, waarvan er negen hardgecodeerd zijn in de samples en worden gebruikt om de C2-lijst direct bij te werken.
“Deze [hard-coded servers] zijn geen C2's maar C2-redirectors – hun rol is om de verzoeken van de bot door te sturen naar de echte C2, gericht op het beschermen van de daadwerkelijke C2 tegen detectie”, aldus de onderzoekers.
Dit heeft ook de mogelijkheid doen ontstaan dat sommige van de hardgecodeerde servers direct onder hun controle staan, omdat het risico bestaat dat de toegang tot het botnet verloren gaat als beheerders van WordPress-sites lucht krijgen van het compromis en stappen ondernemen om dit te corrigeren.
Met de opdrachten die van de C2-server worden opgehaald, kan de malware apparaat- en bestandsinformatie verzamelen, een lijst met geïnstalleerde apps weergeven, de C2-server bijwerken, extra payloads van de C2-server of een willekeurige URL downloaden en uitvoeren, en zichzelf verwijderen.
De exacte doelen en omvang van de campagne zijn momenteel onbekend, hoewel vermoed wordt dat de stiekeme methode mogelijk is gebruikt om het installatieaantal te verhogen en vervolgens de mogelijkheden van de malware te onthullen.
Om de risico's van dergelijke malware te beperken, wordt altijd geadviseerd om apps alleen van vertrouwde bronnen te installeren en app-beoordelingen en -rechten goed te onderzoeken voordat u ze downloadt.