Новий вірус для Android заражає пристрої користувачів через зламані сайти WordPress

Хакери почали розповсюджувати нове шкідливе програмне забезпечення для операційної системи Android під назвою Wpeeper. Цю шкідливу активність фахівцями з інформаційної безпеки було виявлено як мінімум у двох неофіційних магазинах додатків, які імітують Uptodown App Store, популярний сторонній магазин додатків для пристроїв Android із більш ніж 220 мільйонами завантажень, повідомляє видання Bleeping Computer.

Wpeeper у процесі своєї роботи використовує скомпрометовані сайти WordPress як ретранслятори для своїх реальних серверів управління та контролю (C2), виступаючи як механізм ухилення.

Шкідливе програмне забезпечення для Android було виявлено 18 квітня 2024 року командою XLab компанії QAX при дослідженні раніше невідомого файлу ELF, вбудованого в APK (файли пакетів Android), який не був виявлений Virus Total.

Аналітики XLab заявили, що ця кіберзлочинна операція раптово припинилася 22 квітня, імовірно в рамках стратегічного рішення хакерів «поводитися стримано» і уникнути виявлення фахівцями з безпеки та автоматизованими системами.

На підставі даних Google і Passive DNS, експерти з XLab дійшли висновку, що на момент свого виявлення Wpeeper вже заразив тисячі пристроїв, але реальний масштаб операцій залишається невідомим.

Нова система зв’язку C2 від Wpeeper побудована так, щоб використовувати зламані сайти WordPress та проміжні точки ретрансляції, приховуючи розташування та ідентичність її реальних серверів C2. Будь-які команди, надіслані з C2 ботам, пересилаються через ці сайти, а також додатково шифруються AES і підписуються еліптичною кривою, щоб запобігти захопленню неавторизованими третіми особами.

Wpeeper може динамічно оновлювати свої сервери C2 за допомогою прийому відповідної команди, тому, якщо сайт WordPress очищений, ботнет можуть бути відправлені нові точки ретрансляції на різних сайтах. Використання кількох зламаних сайтів на різних хостах та в різних місцях підвищує стійкість механізму C2, ускладнюючи завершення операції або навіть порушення обміну даними на одному зараженому пристрої Android.