Malware para Android utiliza sites WordPress para ocultar servidores
2 de Maio de 2024

Pesquisadores de cibersegurança descobriram um malware antes não documentado, direcionado a dispositivos Android, que utiliza sites WordPress comprometidos como relés para seus servidores de comando e controle (C2) reais para evasão de detecção.

O malware, apelidado de Wpeeper, é um binário ELF que aproveita o protocolo HTTPS para assegurar suas comunicações C2.

"Wpeeper é um Trojan backdoor típico para sistemas Android, suportando funções como coleta de informações sensíveis do dispositivo, gerenciamento de arquivos e diretórios, upload e download, e execução de comandos," disseram os pesquisadores da equipe QiAnXin XLab.

O binário ELF está embutido dentro de uma aplicação reempacotada que finge ser o aplicativo da Loja UPtodown para Android (nome do pacote "com.uptodown"), com o arquivo APK atuando como um veículo de entrega para o backdoor de uma maneira que evita a detecção.

A firma chinesa de cibersegurança disse que descobriu o malware após detectar um artefato Wpeeper com zero detecção na plataforma VirusTotal em 18 de abril de 2024.

A campanha teria chegado a um fim abrupto quatro dias depois.

O uso do aplicativo da Loja Uptodown para a campanha indica uma tentativa de passar por um legítimo mercado de aplicativos de terceiros e enganar usuários desavisados para instalá-lo.

De acordo com estatísticas no Android-apk.org, a versão trojanizada do aplicativo (5.92) foi baixada 2.609 vezes até agora.

O Wpeeper depende de uma arquitetura C2 de múltiplos níveis que usa sites WordPress infectados como um intermediário para obscurecer seus verdadeiros servidores C2.

Tanto quanto 45 servidores C2 foram identificados como parte da infraestrutura, nove dos quais são codificados diretamente nas amostras e são usados para atualizar a lista de C2 em tempo real.

"Esses [servidores codificados] não são C2s mas redirecionadores de C2 -- seu papel é encaminhar as solicitações do bot para o C2 real, visando proteger o C2 efetivo da detecção," disseram os pesquisadores.

Isso também levantou a possibilidade de que alguns dos servidores codificados estejam diretamente sob seu controle, uma vez que há um risco de perder acesso à botnet caso os administradores do site WordPress percebam o comprometimento e tomem medidas para corrigi-lo.

Os comandos recuperados do servidor C2 permitem que o malware colete informações do dispositivo e do arquivo, lista de aplicativos instalados, atualize o servidor C2, baixe e execute payloads adicionais do servidor C2 ou de uma URL arbitrária, e se auto elimine.

Os objetivos exatos e a escala da campanha são atualmente desconhecidos, embora seja suspeito que o método furtivo possa ter sido usado para aumentar os números de instalação e então revelar as capacidades do malware.

Para mitigar os riscos apresentados por tal malware, é sempre aconselhável instalar aplicativos apenas de fontes confiáveis e examinar as avaliações e permissões de aplicativos antes de baixá-los.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...