{"id":6563,"date":"2024-05-08T00:17:59","date_gmt":"2024-05-07T22:17:59","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=6563"},"modified":"2024-05-08T00:17:59","modified_gmt":"2024-05-07T22:17:59","slug":"android-wpeeper-zloupotrebljava-wordpress","status":"publish","type":"post","link":"http:\/\/sajberinfo.com\/en\/2024\/05\/08\/android-wpeeper-zloupotrebljava-wordpress\/","title":{"rendered":"Android Wpeeper zloupotrebljava WordPress"},"content":{"rendered":"<p><span style=\"font-size: 14pt;\">Najnoviji dodatak ekosistemu <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernog softvera<\/a> je novi <a href=\"https:\/\/sajberinfo.com\/en\/2023\/04\/11\/backdoor\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>backdoor<\/em> <\/a>za Android pod nazivom <em>Wpeeper<\/em>. Ova prikrivena prijetnja je otkrivena kako se krije u najmanje dvije nezvani\u010dne prodavnice aplikacija, maskiraju\u0107i se kao pouzdani izvori. Jedinstvena karakteristika zlonamjernog softvera le\u017ei u kori\u0161\u0107enju kompromitovanih <em>WordPress<\/em> lokacija kao releja za komandne i kontrolne (<em>C2<\/em>) servere.<\/span><\/p>\n<div id=\"attachment_6564\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-6564\" class=\"size-full wp-image-6564\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/05\/Wpeeper-backdoor-malware.jpg\" alt=\"Wpeeper\" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/05\/Wpeeper-backdoor-malware.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/05\/Wpeeper-backdoor-malware-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/05\/Wpeeper-backdoor-malware-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/05\/Wpeeper-backdoor-malware-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/05\/Wpeeper-backdoor-malware-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/05\/Wpeeper-backdoor-malware-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/05\/Wpeeper-backdoor-malware-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-6564\" class=\"wp-caption-text\"><em>Android Wpeeper zloupotrebljava WordPress; Source: Bing Image Creator<\/em><\/p><\/div>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewbox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewbox=\"0 0 24 24\" version=\"1.2\" baseprofile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"http:\/\/sajberinfo.com\/en\/2024\/05\/08\/android-wpeeper-zloupotrebljava-wordpress\/#WPEEPER\" >WPEEPER<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"http:\/\/sajberinfo.com\/en\/2024\/05\/08\/android-wpeeper-zloupotrebljava-wordpress\/#Funkcionisanje\" >Funkcionisanje<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"http:\/\/sajberinfo.com\/en\/2024\/05\/08\/android-wpeeper-zloupotrebljava-wordpress\/#Mogucnosti\" >Mogu\u0107nosti<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"http:\/\/sajberinfo.com\/en\/2024\/05\/08\/android-wpeeper-zloupotrebljava-wordpress\/#WordPress_zloupotreba\" >WordPress zloupotreba<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"http:\/\/sajberinfo.com\/en\/2024\/05\/08\/android-wpeeper-zloupotrebljava-wordpress\/#C2_server\" >C2 server<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"http:\/\/sajberinfo.com\/en\/2024\/05\/08\/android-wpeeper-zloupotrebljava-wordpress\/#ZAKLJUCAK\" >ZAKLJU\u010cAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"http:\/\/sajberinfo.com\/en\/2024\/05\/08\/android-wpeeper-zloupotrebljava-wordpress\/#ZASTITA\" >ZA\u0160TITA<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2><span class=\"ez-toc-section\" id=\"WPEEPER\"><\/span><strong><span style=\"font-size: 14pt;\"><em>WPEEPER<\/em><\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Sigurnosni istra\u017eiva\u010di kompanije <em>QAX<\/em> <em>Xlab<\/em> su u drugoj polovini aprila 2024. godine<a href=\"https:\/\/blog.xlab.qianxin.com\/playing-possum-whats-the-wpeeper-backdoor-up-to\/\" target=\"_blank\" rel=\"noopener\"> identifikovali i prou\u010davali novi <em>Android<\/em> <em>backdoor<\/em> zlonamjerni softver pod nazivom <em>Wpeeper<\/em><\/a>. Ovaj zlonamjerni softver predstavlja zna\u010dajan rizik za korisnike, posebno one koji preuzimaju aplikacije iz nepouzdanih izvora ili iz prodavnica aplikacija tre\u0107ih strana.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Zlonamjerni softver <em>Wpeeper<\/em> je otkriven u <em>Android package files<\/em> \u2013 <em>APK<\/em> datotekama sa nula otkrivanja prilikom skeniranja na <em>VirusTotal<\/em> platformi. Prona\u0111en je u najmanje dvije nezvani\u010dne prodavnice aplikacija koje su opona\u0161ale <em>Uptodown<\/em> <em>App<\/em> prodavnicu, popularnu prodavnicu <em>Android<\/em> aplikacija tre\u0107e strane sa preko 220 miliona preuzimanja. Ono \u0161to <em>Wpeeper<\/em> izdvaja od drugih zlonamjernih programa je njegova upotreba kompromitovanih <em>WordPress<\/em> lokacija kao releja za svoje servere za komandu i kontrolu (<em>C2<\/em>).<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Funkcionisanje\"><\/span><strong><span style=\"font-size: 14pt;\">Funkcionisanje<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Napada\u010di su ugradili mali isje\u010dak k\u00f4da u obi\u010dne <em>APK<\/em> datoteke, koji su, kada su ih instalirali\u00a0 korisnici, preuzele i izvr\u0161ili zlonamjerni <em>Executable and Linkable Format<\/em> \u2013 <em>ELF<\/em> datoteku. Primarni cilj je da uspostavi <em>backdoor<\/em> na zara\u017eenom <em>Android<\/em> ure\u0111aju.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Prepakovane <em>APK <\/em>datoteke su slu\u017eili kao preuzima\u010di za ovaj <em>backdoor<\/em>, uspje\u0161no izbjegavaju\u0107i antivirusnu detekciju zbog minimalnog dodanog k\u00f4da sa nultom detekcijom na <em>VirusTotal<\/em> platformi. <em>Uptodown App <\/em>prodavnica, kao prodavnica aplikacija tre\u0107e strane sa ogromnom globalnom bazom korisnika, vjerovatno je izabrana od strane <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/19\/hakeri-crni-sesiri-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">napada\u010da<\/a> zbog njene ograni\u010dene vidljivosti.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Jednom instaliran, <em>Wpeeper<\/em> po\u010dinje da komunicira sa svojim serverom za komandu i kontrolu (<em>C2<\/em>) preko <em>HTTPS<\/em> protokola kako bi osigurao za\u0161titu mre\u017enog saobra\u0107aja. Komande koje izdaje <em>C2<\/em> su <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/20\/enkripcija-podataka-istorija-i-osnove-epizoda-1\/\" target=\"_blank\" rel=\"nofollow noopener\">\u0161ifrovane<\/a> kori\u0161tenjem <em>AES<\/em> standarda \u0161ifrovanja i pra\u0107ene potpisom elipti\u010dke krive da bi se sprije\u010dili poku\u0161aji preuzimanja. Ovaj metod <a href=\"https:\/\/sajberinfo.com\/en\/2022\/04\/10\/enkripcija-podataka-funkcionisanje-i-vrste-epizoda-2\/\" target=\"_blank\" rel=\"nofollow noopener\">\u0161ifrovanja<\/a> osigurava da \u010dak i ako se presretnu podaci ostaju ne\u010ditljivi bez klju\u010da za de\u0161ifrovanje. Upotreba <em>HTTPS<\/em> protokola za komunikaciju je strate\u0161ki potez kreatora <em>Wpeeper <\/em>zlonamjernog softvera. Koriste\u0107i ovaj bezbjedni komunikacioni kanal, oni mogu da zadr\u017ee svoju anonimnost i izbjegnu otkrivanje od strane bezbjednosnih alata koji nadgledaju mre\u017eni saobra\u0107aj otvorenog teksta. Pored toga, omogu\u0107ava im da razlikuju zahteve na osnovu polja sesije, \u0161to ote\u017eava <a href=\"https:\/\/sajberinfo.com\/en\/2022\/02\/27\/hakeri-eticki-hakeri-epizoda-2\/\" target=\"_blank\" rel=\"nofollow noopener\">bezbjednosnim analiti\u010darima<\/a> da prate poreklo svake komande.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Zlonamjerni softver <em>Wpeeper<\/em> je dizajniran da bude postojan, \u0161to zna\u010di da ostaje aktivan \u010dak i nakon ponovnog pokretanja ure\u0111aja. To posti\u017ee tako \u0161to se registruje kao sistemska usluga i postavlja pozadinski proces koji se neprekidno pokre\u0107e. Ovo osigurava da napada\u010di odr\u017eavaju kontrolu nad zara\u017eenim ure\u0111ajem u svakom trenutku. Mogu\u0107nosti <em>Wpeeper<\/em> nisu ograni\u010dene samo na preuzimanje dodatnog zlonamjernog softvera; tako\u0111e mo\u017ee da obavlja razli\u010dite radnje na <em>Android<\/em> ure\u0111aju, kao \u0161to je kra\u0111a osjetljivih informacija kao \u0161to su kontakti, poruke i podaci o lokaciji. Tako\u0111e mo\u017ee da izvr\u0161ava proizvoljne komande, da instalira nove aplikacije ili \u010dak da deinstalira postoje\u0107e po naho\u0111enju napada\u010da.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Sigurnosni istra\u017eiva\u010di su pa\u017eljivo pratili aktivnosti <em>Wpeeper <\/em>zlonamjernog softvera, kada je krajem aprila do\u0161lo do prekida. <em>C2<\/em> serveri i programi za preuzimanje iznenada su prestali da pru\u017eaju usluge, \u0161to je navelo siurnosne istra\u017eiva\u010de da posumnjaju da bi ovo mogao biti dio ve\u0107eg strate\u0161kog poteza napada\u010da. Tvorci <em>Wpeeper<\/em> su mo\u017eda zaustavili njegove mre\u017ene usluge kako bi omogu\u0107ili prepakovanim <em>APK<\/em> datotekama da zadr\u017ee svoj \u201c<em>nevini<\/em>\u201d status u o\u010dima <a href=\"https:\/\/sajberinfo.com\/en\/2021\/08\/17\/antivirusni-softver\/\" target=\"_blank\" rel=\"nofollow noopener\">antivirusnog softvera<\/a> i pove\u0107aju broj instalacija na ure\u0111ajima. Oni bi tada mogli da otkriju prave mogu\u0107nosti <em>Wpeeper <\/em>zlonamjernog softvera u kasnijoj fazi kada budu smatrali da je to prikladno, potencijalno nakon \u0161to je zna\u010dajan broj ure\u0111aja ugro\u017een. Ova strategija bi otkrivanje u\u010dinila izazovnim, jer bi postojao ve\u0107i broj zara\u017eenih ure\u0111aja koji bi se uklopili sa normalnim saobra\u0107ajem na mre\u017ei.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Mogucnosti\"><\/span><strong><span style=\"font-size: 14pt;\">Mogu\u0107nosti<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Zlonamjerni softver <em>Wpeeper<\/em> prima komande sa servera za komandu i kontrolu (<em>C2<\/em>) i izvr\u0161ava razli\u010dite funkcije na osnovu tih komandi. Po prijemu \u0161ifrovanih podataka sa <em>C2<\/em>, <em>Wpeeper<\/em> ih de\u0161ifruje koriste\u0107i <em>AES<\/em> standard \u0161ifrovanja u <em>CBC<\/em> re\u017eimu da bi dobio <em>cmd_context<\/em>. Na osnovu vrijednosti <em>cmd<\/em> u <em>cmd_context<\/em>, <em>Wpeeper<\/em> izvr\u0161ava odre\u0111ene komande. Radi se o 13 razli\u010ditih komandi sa odgovaraju\u0107im brojevima i funkcijama. Neki primjeri uklju\u010duju komandu 3 za <em>c2_list<\/em> a\u017euriranje sa imenima domena koja se nalaze u <a href=\"https:\/\/sajberinfo.com\/en\/2023\/04\/11\/payload\/\" target=\"_blank\" rel=\"nofollow noopener\">korisnom tovaru<\/a> i komandu 12 za brisanje samog sebe.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Naziv zlonamjernog softvera <em>Wpeeper <\/em>odnosi se na mehanizam za verifikaciju potpisa koji obezbje\u0111uje legitimnost komandi poslatih sa servera za komandu i kontrolu (<em>C2<\/em>), odr\u017eavaju\u0107i bezbjednost i integritet mre\u017ee. Ovaj mehanizam za verifikaciju potpisa obezbje\u0111uje da se izvr\u0161avaju samo legitimne komande, spre\u010davaju\u0107i potencijalnu kompromitaciju cijele mre\u017ee od trovanja, preuzimanja ili uni\u0161tenja. Potvr\u0111ivanjem legitimiteta komandi i de\u0161ifrovanjem podataka kori\u0161tenjem jakih metoda \u0161ifrovanja kao \u0161to je <em>AES<\/em> <em>CBC<\/em> re\u017eim, zlonamjerni softver poma\u017ee u odr\u017eavanju bezbjednosti mre\u017ee tako \u0161to obezbje\u0111uje spre\u010davanje neovla\u0161tenog pristupa. Trenutno, <em>Wpeeper<\/em> podr\u017eava ukupno 13 razli\u010ditih komandi sa razli\u010ditim funkcionalnostima.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"WordPress_zloupotreba\"><\/span><strong><span style=\"font-size: 14pt;\"><em>WordPress<\/em> zloupotreba<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">Analiza zlonamjernog softvera je pokazala da napada\u010di koriste kompromitovane <em>WordPress<\/em> lokacije\u00a0 kao dio svoje infrastrukture za komandu i kontrolu (<em>C2<\/em>). Ove lokacije ne djeluju kao direktni <em>C2<\/em> serveri, ve\u0107 kao posrednici ili preusmeriva\u010di, proslije\u0111uju\u0107i bot zahteve za stvarnim <em>C2<\/em> serverima u cilju za\u0161tite pravih <em>C2<\/em> servera od otkrivanja.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Kori\u0161tenje <em>WordPress<\/em> lokacija za ovu zlonamjernu aktivnost je novi pristup u sajber napadima i nagla\u0161ava stru\u010dnost napada\u010da i po\u0161tovanja najboljih praksi. Razlozi za izbor kompromitovanih <em>WordPress<\/em> lokacija kao posrednika su dvostruki. Prvi razlog je zamagljivanje izvora kroz kori\u0161tenje razli\u010ditih kompromitovanih <em>WordPress<\/em> lokacija. Svaka od lokacija ima razli\u010dite teme kao \u0161to su kulinarstvo, medicina, sport ili sadr\u017eaj za odrasle, \u010dim su napada\u010di imali za cilj da ote\u017eaju bezbjednosnim profesionalcima i automatizovanim sistemima da otkriju njihove stvarne <em>C2<\/em> servere. Drugi razlog je se krije u otpornosti na ometanje.\u00a0 Upotreba vi\u0161e kompromitovanih <em>WordPress<\/em> instalacija na razli\u010ditim lokacijama \u010dini <em>C2<\/em> mehanizam robusnijim i te\u017eim za ometanje ili potpuno ga\u0161enje. Ako je jedna lokacija o\u010di\u0161\u0107ena, nove ta\u010dke prenosa na drugim zara\u017eenim <em>WordPress<\/em> lokacijama mogu biti poslate na inficirani ure\u0111aj zlonamjernom softveru, obezbe\u0111uju\u0107i kontinuiranu komunikaciju izme\u0111u inficiranih ure\u0111aja i zlonamjernih aktera.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"C2_server\"><\/span><strong><span style=\"font-size: 14pt;\">C2 server<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\"><em>C2<\/em> komunikacija u <em>Wpeeper<\/em> se uspostavlja pomo\u0107u datoteke pod nazivom <em>store.lock<\/em>, koja mo\u017ee de\u0161ifrovati <em>AES-CBC<\/em> \u0161ifrovane podatke ili dekodirati <em>Base64<\/em> kodirane <em>C2<\/em> servere iz ugra\u0111enih izvora da bi se popunio niz <em>c2_list<\/em>. Ovaj niz skladi\u0161ti do 30 trenutnih <em>C2<\/em> servera. <em>Wpeeper<\/em> bot u po\u010detku poku\u0161ava da dekodira <em>Base64<\/em> kodirane <em>C2<\/em> servere, \u0161ifruje ih koriste\u0107i <em>AES-CBC<\/em> re\u017eim, sa\u010duva ih kao <em>store.lock<\/em>, a zatim nastavi sa komunikacijom i izvr\u0161avanjem komande. Ako datoteka ve\u0107 postoji, ona koristi postoje\u0107e podatke iz <em>store.lock<\/em> za komunikaciju umjesto da dekodira nove <em>C2<\/em> servere.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Kori\u0161tenje \u010dvrsto kodiranih <em>C2<\/em> u okviru zlonamjernog softvera je uobi\u010dajena taktika koju koriste zlonamjerni akteri kako bi osigurali da njihov <a href=\"https:\/\/sajberinfo.com\/en\/2022\/04\/24\/botnet\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>botnet<\/em> <\/a>ostane operativan \u010dak i ako jedan ili vi\u0161e <em>C2<\/em> servera uklone bezbjednosne agencije ili druge protivmjere. Me\u0111utim, prisustvo ovih \u010dvrsto kodiranih <em>C2<\/em> mo\u017ee se koristiti i kao indikatori kompromisa za <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/30\/hakeri-sivi-sesiri-epizoda-4\/\" target=\"_blank\" rel=\"nofollow noopener\">lovce na prijetnje<\/a> i one koji reaguju na incidente u potrazi za potencijalnim infekcijama.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><strong><span style=\"font-size: 14pt;\">ZAKLJU\u010cAK<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Zlonamjerni softver za <em>Android<\/em> pod nazivom <em>Wpeeper<\/em> se \u0161iri kroz <em>APK<\/em> datoteke iz nezvani\u010dnih prodavnica aplikacija koje se predstavljaju kao <em>Uptodown<\/em>. Koristi zara\u017eene <em>WordPress <\/em>lokacije kao posredni\u010dke releje za svoje <em>C2<\/em> servere da bi izbjegao otkrivanje. Do trenutka kada je otkriven, ve\u0107 je zarazio hiljade ure\u0111aja, ali pravi obim njegovih operacija ostaje nepoznat.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>Wpeeper<\/em> koristi sofisticirani komunikacioni sistem sa <em>C2<\/em> serverima preko zara\u017eenih <em>WordPress <\/em>lokacija koji djeluju kao releji i \u0161ifruju i potpisuju komande koriste\u0107i elipti\u010dke krive da bi sprije\u010dili presretanje, uz upotrebu tehnike \u010dvrstog kodiranja i dekodiranja da bi dobio svoje <em>C2<\/em> servere iz ugra\u0111enih izvora. Kreatori su mo\u017eda namjerno zaustavili mre\u017ene usluge kao dio strategije izbjegavanja kako bi izbjegli otkrivanje i pove\u0107ali <em>botnet<\/em> domet pre nego \u0161to se otkriju njegove prave mogu\u0107nosti. To je vjerovatno dio strate\u0161ke odluke da se zadr\u017ei diskrecija i izbjegne detekcija od strane sigurnosnih istra\u017eiva\u010da i automatizovanih sistema.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZASTITA\"><\/span><strong><span style=\"font-size: 14pt;\">ZA\u0160TITA<\/span><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Kako bi se za\u0161titili od <em>Wpeeper <\/em>zlonamjernog softvera, neophodno je da korisnici i organizacije razumiju njegovu funkcionalnost i u skladu sa tim primjene protivmjere. Evo nekoliko predlo\u017eenih koraka:<\/span><\/p>\n<ol>\n<li><span style=\"font-size: 14pt;\">Uvjeriti se da svi <em>Android<\/em> ure\u0111aji imaju instalirana najnovija a\u017euriranja operativnog sistema. Ovo \u0107e pomo\u0107i u ispravljanju svih poznatih ranjivosti koje <em>Wpeeper<\/em> ili sli\u010dan zlonamjerni softver mo\u017ee da iskoristi,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Koristite renomirane prodavnice aplikacija i preuzimati aplikacije samo iz pouzdanih izvora kao \u0161to je <em>Google<\/em> <em>Play<\/em> prodavnica, jer imaju stroge bezbjednosne mjere da sprije\u010de distribuciju zlonamjernog softvera,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Instalirati pouzdano <em>Android<\/em> antivirusno rje\u0161enje koje mo\u017ee da otkrije i ukloni <em>Wpeeper<\/em> zlonamjerni softver ili sli\u010dne prijetnje. Redovno a\u017eurirati antivirusni softver kako bi se osiguralo da ostaje efikasan protiv novih varijanti zlonamjernog softvera,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Potrebno je pratiti mre\u017ene aktivnosti ure\u0111aja, posebno ako postoji sumnja da je ure\u0111aj zara\u017een <em>Wpeeper <\/em>zlonamjernim softverom ili bilo kojim drugim zlonamjernim softverom. Anomalno pona\u0161anje mre\u017ee mo\u017ee ukazivati na komunikaciju sa <em>C2<\/em> serverima,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Koristite za\u0161ti\u0107eno okru\u017eenje (eng. <em>sandboxing<\/em>) za <em>Android<\/em> aplikacije kako bi se izolovale aplikacije i sprije\u010dile da pristupe osjetljivim podacima ili sistemskim resursima bez odgovaraju\u0107eg ovla\u0161\u0107enja. Ovo mo\u017ee pomo\u0107i u suzbijanju \u0161irenja <em>Wpeeper<\/em> zlonamjernog softvera ako uspije da se infiltrira na ure\u0111aj,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Koristiti jaku <a href=\"https:\/\/sajberinfo.com\/en\/2022\/04\/22\/enkripcija-podataka-upravljanje-kljucevima-i-nedostaci-enkripcije-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">enkripciju<\/a> za osjetljive podatke primjenom robusnih algoritama za \u0161ifrovanje kao \u0161to je <em>AES<\/em> <em>CBC<\/em> re\u017eim za obezbje\u0111ivanje osjetljivih podataka. Ovo mo\u017ee pomo\u0107i u za\u0161titi informacija \u010dak i ako napada\u010d uspije da dobije neovla\u0161teni pristup ure\u0111aju,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Redovno praviti <a href=\"https:\/\/sajberinfo.com\/en\/2020\/11\/02\/rezervna-kopija-i-cuvanje-podataka\/\" target=\"_blank\" rel=\"nofollow noopener\">rezervne kopije va\u017enih podataka<\/a> na svim svojim ure\u0111ajima. U slu\u010daju infekcije zlonamjernim softverom, kao \u0161to je <em>Wpeeper<\/em>, nedavna rezervna kopija \u0107e omogu\u0107iti povratak podataka bez gubitka vrijednih informacija, u slu\u010daju gubitka podatka ili da se ure\u0111aj mora vratiti na fabri\u010dka pode\u0161avanja,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Vr\u0161iti redovnu edukaciju korisnika o napadima dru\u0161tvenog in\u017eenjeringa, jer je to uobi\u010dajena taktika koju koriste zlonamjerni akteri poput kreatora <em>Wpeeper<\/em> zlonamjernog softvera da prevare korisnike da preuzmu i instaliraju zlonamjerni softver. Redovna edukacija korisnika o tome kako da identifikuju ove prijetnje mo\u017ee pomo\u0107i u spre\u010davanju infekcija,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Primjenjivati stroge smjernice za kontrolu pristupa mre\u017ei, posebno ako ima vi\u0161e ure\u0111aja povezanih na nju. Ovo \u0107e pomo\u0107i da se ograni\u010di \u0161irenje <em>Wpeeper<\/em> zlonamjernog softvera ili bilo kog drugog zlonamjernog softvera koji bi mogao da poku\u0161a da iskoristi ranjivosti na mre\u017ei.<\/span><\/li>\n<\/ol>","protected":false},"excerpt":{"rendered":"<p>Najnoviji dodatak ekosistemu zlonamjernog softvera je novi backdoor za Android pod nazivom Wpeeper. Ova prikrivena prijetnja je otkrivena kako se krije u najmanje dvije nezvani\u010dne prodavnice aplikacija, maskiraju\u0107i se kao pouzdani izvori. Jedinstvena karakteristika&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":6564,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[1181,1148,1186,1182,1185,1184,1188,1187,1183,1180],"class_list":["post-6563","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-android-backdoor","tag-android-security-threats","tag-antivirus-evasion","tag-c2-communication","tag-c2-redirectors","tag-compromised-wordpress-sites","tag-innocent-apk-status","tag-strategic-campaign-halts","tag-wpeeper-commands","tag-wpeeper-malware"],"_links":{"self":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/6563","targetHints":{"allow":["GET"]}}],"collection":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=6563"}],"version-history":[{"count":0,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/6563\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/6564"}],"wp:attachment":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=6563"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=6563"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=6563"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}