Pesquisadores de segurança cibernética descobriram um malware anteriormente não documentado direcionado a dispositivos Android que usa websites WordPress comprometidos como retransmissores para seus servidores reais de comando e controle (C2) para evasão de detecção.
O malware, codinome Wpeeperé um binário ELF que aproveita o protocolo HTTPS para proteger suas comunicações C2.
“Wpeeper é um Trojan backdoor típico para sistemas Android, suportando funções como coleta de informações confidenciais do dispositivo, gerenciamento de arquivos e diretórios, add e obtain e execução de comandos”, disseram pesquisadores da equipe QiAnXin XLab.
O binário ELF está incorporado em um aplicativo reempacotado que pretende ser o aplicativo UPtodown App Retailer para Android (nome do pacote “com.uptodown”), com o arquivo APK atuando como um veículo de entrega para o backdoor de uma maneira que evita a detecção.
A empresa chinesa de segurança cibernética disse que descobriu o malware depois de detectar um artefato Wpeeper com detecção zero na plataforma VirusTotal em 18 de abril de 2024. A campanha teria chegado ao fim abruptamente quatro dias depois.
O uso do aplicativo Uptodown App Retailer para a campanha indica uma tentativa de se passar por um mercado legítimo de aplicativos de terceiros e enganar usuários desavisados para que o instalem. De acordo com estatísticas do Android-apk.org, a versão trojanizada do aplicativo (5.92) foi baixada 2.609 vezes até o momento.
O Wpeeper depende de uma arquitetura C2 multicamadas que usa websites WordPress infectados como intermediários para ocultar seus verdadeiros servidores C2. Até 45 servidores C2 foram identificados como parte da infraestrutura, nove dos quais são codificados nas amostras e são usados para atualizar a lista C2 em tempo actual.
“Esses (servidores codificados) não são C2s, mas redirecionadores C2 – sua função é encaminhar as solicitações do bot para o C2 actual, com o objetivo de proteger o C2 actual da detecção”, disseram os pesquisadores.
Isso também levantou a possibilidade de que alguns dos servidores codificados estejam diretamente sob seu controle, uma vez que existe o risco de perder acesso à botnet caso os administradores do website WordPress fiquem sabendo do comprometimento e tomem medidas para corrigi-lo.
Os comandos recuperados do servidor C2 permitem que o malware colete informações de dispositivos e arquivos, liste aplicativos instalados, atualize o servidor C2, baixe e execute cargas adicionais do servidor C2 ou de um URL arbitrário e exclua-se automaticamente.
Os objetivos exatos e a escala da campanha são atualmente desconhecidos, embora se suspeite que o método sorrateiro possa ter sido usado para aumentar o número de instalações e depois revelar as capacidades do malware.
Para mitigar os riscos apresentados por esse tipo de malware, é sempre aconselhável instalar aplicativos apenas de fontes confiáveis e examinar minuciosamente as revisões e permissões dos aplicativos antes de baixá-los.
