Malware móvil Wpeeper
Los analistas de seguridad han descubierto un nuevo tipo de malware dirigido a dispositivos Android. Este malware, llamado Wpeeper, era desconocido anteriormente y emplea sitios de WordPress comprometidos para enmascarar las conexiones de su servidor de comando y control (C2), lo que lo hace más difícil de detectar. Wpeeper opera como un binario ELF y utiliza HTTPS para una comunicación segura con sus servidores C2.
Wpeeper funciona como un troyano de puerta trasera estándar para Android y permite diversas actividades, incluida la recopilación de datos confidenciales del dispositivo, la administración de archivos y directorios, la transferencia de archivos (carga y descarga) y la ejecución remota de comandos.
Tabla de contenido
El malware Wpeeper infecta dispositivos a través de aplicaciones de Android comprometidas
El binario ELF comprometido está oculto dentro de una versión modificada de la aplicación UPtodown App Store para Android (nombre del paquete 'com.uptodown'), con el archivo APK sirviendo como portador de la puerta trasera, diseñado para evitar la detección.
La elección de la aplicación Uptodown App Store para esta campaña sugiere un esfuerzo por camuflar un mercado legítimo de aplicaciones de terceros y engañar a usuarios desprevenidos para que la instalen. Según las estadísticas de Android-apk.org, la versión comprometida de la aplicación (5.92) se ha descargado hasta ahora 2.609 veces.
El malware Wpeeper utiliza una arquitectura compleja de comando y control
Wpeeper emplea una arquitectura C2 sofisticada que involucra sitios de WordPress infectados que actúan como intermediarios para ofuscar sus servidores C2 genuinos. Se han identificado hasta 45 servidores C2 dentro de esta infraestructura, nueve de ellos codificados en las muestras para actualizar dinámicamente la lista C2.
Estos servidores codificados no son C2 reales, sino redirectores de C2; su propósito es reenviar las solicitudes del bot al C2 auténtico, con el objetivo de proteger al C2 genuino de la detección. Esto también ha generado la preocupación de que los atacantes puedan controlar directamente algunos de los servidores codificados, ya que existe el riesgo de perder el acceso a la botnet si los administradores del sitio de WordPress se dan cuenta del compromiso y toman medidas correctivas.
Los atacantes pueden realizar diversas acciones intrusivas en dispositivos infectados
Los comandos recibidos del servidor C2 permiten que el malware recopile detalles del dispositivo y de los archivos, enumere las aplicaciones instaladas, actualice el servidor C2, descargue y ejecute cargas útiles adicionales desde el servidor C2 o una URL específica, y se autoelimine.
Los objetivos completos y el alcance de la campaña no están claros actualmente. Aún así, existen sospechas de que esta táctica engañosa puede haber sido empleada para aumentar las cifras de instalación y posteriormente exponer las capacidades del malware.
Para minimizar los peligros que plantea este tipo de malware, es fundamental instalar exclusivamente aplicaciones de fuentes confiables y revisar cuidadosamente las clasificaciones y permisos de las aplicaciones antes de descargarlas.
