Android Wpeeper zloupotrebljava WordPress

AUTOR ·

Najnoviji dodatak ekosistemu zlonamjernog softvera je novi backdoor za Android pod nazivom Wpeeper. Ova prikrivena prijetnja je otkrivena kako se krije u najmanje dvije nezvanične prodavnice aplikacija, maskirajući se kao pouzdani izvori. Jedinstvena karakteristika zlonamjernog softvera leži u korišćenju kompromitovanih WordPress lokacija kao releja za komandne i kontrolne (C2) servere.

Wpeeper

Android Wpeeper zloupotrebljava WordPress; Source: Bing Image Creator

WPEEPER

Sigurnosni istraživači kompanije QAX Xlab su u drugoj polovini aprila 2024. godine identifikovali i proučavali novi Android backdoor zlonamjerni softver pod nazivom Wpeeper. Ovaj zlonamjerni softver predstavlja značajan rizik za korisnike, posebno one koji preuzimaju aplikacije iz nepouzdanih izvora ili iz prodavnica aplikacija trećih strana.

Zlonamjerni softver Wpeeper je otkriven u Android package filesAPK datotekama sa nula otkrivanja prilikom skeniranja na VirusTotal platformi. Pronađen je u najmanje dvije nezvanične prodavnice aplikacija koje su oponašale Uptodown App prodavnicu, popularnu prodavnicu Android aplikacija treće strane sa preko 220 miliona preuzimanja. Ono što Wpeeper izdvaja od drugih zlonamjernih programa je njegova upotreba kompromitovanih WordPress lokacija kao releja za svoje servere za komandu i kontrolu (C2).

 

Funkcionisanje

Napadači su ugradili mali isječak kôda u obične APK datoteke, koji su, kada su ih instalirali  korisnici, preuzele i izvršili zlonamjerni Executable and Linkable FormatELF datoteku. Primarni cilj je da uspostavi backdoor na zaraženom Android uređaju.

Prepakovane APK datoteke su služili kao preuzimači za ovaj backdoor, uspješno izbjegavajući antivirusnu detekciju zbog minimalnog dodanog kôda sa nultom detekcijom na VirusTotal platformi. Uptodown App prodavnica, kao prodavnica aplikacija treće strane sa ogromnom globalnom bazom korisnika, vjerovatno je izabrana od strane napadača zbog njene ograničene vidljivosti.

Jednom instaliran, Wpeeper počinje da komunicira sa svojim serverom za komandu i kontrolu (C2) preko HTTPS protokola kako bi osigurao zaštitu mrežnog saobraćaja. Komande koje izdaje C2 su šifrovane korištenjem AES standarda šifrovanja i praćene potpisom eliptičke krive da bi se spriječili pokušaji preuzimanja. Ovaj metod šifrovanja osigurava da čak i ako se presretnu podaci ostaju nečitljivi bez ključa za dešifrovanje. Upotreba HTTPS protokola za komunikaciju je strateški potez kreatora Wpeeper zlonamjernog softvera. Koristeći ovaj bezbjedni komunikacioni kanal, oni mogu da zadrže svoju anonimnost i izbjegnu otkrivanje od strane bezbjednosnih alata koji nadgledaju mrežni saobraćaj otvorenog teksta. Pored toga, omogućava im da razlikuju zahteve na osnovu polja sesije, što otežava bezbjednosnim analitičarima da prate poreklo svake komande.

Zlonamjerni softver Wpeeper je dizajniran da bude postojan, što znači da ostaje aktivan čak i nakon ponovnog pokretanja uređaja. To postiže tako što se registruje kao sistemska usluga i postavlja pozadinski proces koji se neprekidno pokreće. Ovo osigurava da napadači održavaju kontrolu nad zaraženim uređajem u svakom trenutku. Mogućnosti Wpeeper nisu ograničene samo na preuzimanje dodatnog zlonamjernog softvera; takođe može da obavlja različite radnje na Android uređaju, kao što je krađa osjetljivih informacija kao što su kontakti, poruke i podaci o lokaciji. Takođe može da izvršava proizvoljne komande, da instalira nove aplikacije ili čak da deinstalira postojeće po nahođenju napadača.

Sigurnosni istraživači su pažljivo pratili aktivnosti Wpeeper zlonamjernog softvera, kada je krajem aprila došlo do prekida. C2 serveri i programi za preuzimanje iznenada su prestali da pružaju usluge, što je navelo siurnosne istraživače da posumnjaju da bi ovo mogao biti dio većeg strateškog poteza napadača. Tvorci Wpeeper su možda zaustavili njegove mrežne usluge kako bi omogućili prepakovanim APK datotekama da zadrže svoj “nevini” status u očima antivirusnog softvera i povećaju broj instalacija na uređajima. Oni bi tada mogli da otkriju prave mogućnosti Wpeeper zlonamjernog softvera u kasnijoj fazi kada budu smatrali da je to prikladno, potencijalno nakon što je značajan broj uređaja ugrožen. Ova strategija bi otkrivanje učinila izazovnim, jer bi postojao veći broj zaraženih uređaja koji bi se uklopili sa normalnim saobraćajem na mreži.

 

Mogućnosti

Zlonamjerni softver Wpeeper prima komande sa servera za komandu i kontrolu (C2) i izvršava različite funkcije na osnovu tih komandi. Po prijemu šifrovanih podataka sa C2, Wpeeper ih dešifruje koristeći AES standard šifrovanja u CBC režimu da bi dobio cmd_context. Na osnovu vrijednosti cmd u cmd_context, Wpeeper izvršava određene komande. Radi se o 13 različitih komandi sa odgovarajućim brojevima i funkcijama. Neki primjeri uključuju komandu 3 za c2_list ažuriranje sa imenima domena koja se nalaze u korisnom tovaru i komandu 12 za brisanje samog sebe.

Naziv zlonamjernog softvera Wpeeper odnosi se na mehanizam za verifikaciju potpisa koji obezbjeđuje legitimnost komandi poslatih sa servera za komandu i kontrolu (C2), održavajući bezbjednost i integritet mreže. Ovaj mehanizam za verifikaciju potpisa obezbjeđuje da se izvršavaju samo legitimne komande, sprečavajući potencijalnu kompromitaciju cijele mreže od trovanja, preuzimanja ili uništenja. Potvrđivanjem legitimiteta komandi i dešifrovanjem podataka korištenjem jakih metoda šifrovanja kao što je AES CBC režim, zlonamjerni softver pomaže u održavanju bezbjednosti mreže tako što obezbjeđuje sprečavanje neovlaštenog pristupa. Trenutno, Wpeeper podržava ukupno 13 različitih komandi sa različitim funkcionalnostima.

 

WordPress zloupotreba

Analiza zlonamjernog softvera je pokazala da napadači koriste kompromitovane WordPress lokacije  kao dio svoje infrastrukture za komandu i kontrolu (C2). Ove lokacije ne djeluju kao direktni C2 serveri, već kao posrednici ili preusmerivači, proslijeđujući bot zahteve za stvarnim C2 serverima u cilju zaštite pravih C2 servera od otkrivanja.

Korištenje WordPress lokacija za ovu zlonamjernu aktivnost je novi pristup u sajber napadima i naglašava stručnost napadača i poštovanja najboljih praksi. Razlozi za izbor kompromitovanih WordPress lokacija kao posrednika su dvostruki. Prvi razlog je zamagljivanje izvora kroz korištenje različitih kompromitovanih WordPress lokacija. Svaka od lokacija ima različite teme kao što su kulinarstvo, medicina, sport ili sadržaj za odrasle, čim su napadači imali za cilj da otežaju bezbjednosnim profesionalcima i automatizovanim sistemima da otkriju njihove stvarne C2 servere. Drugi razlog je se krije u otpornosti na ometanje.  Upotreba više kompromitovanih WordPress instalacija na različitim lokacijama čini C2 mehanizam robusnijim i težim za ometanje ili potpuno gašenje. Ako je jedna lokacija očišćena, nove tačke prenosa na drugim zaraženim WordPress lokacijama mogu biti poslate na inficirani uređaj zlonamjernom softveru, obezbeđujući kontinuiranu komunikaciju između inficiranih uređaja i zlonamjernih aktera.

 

C2 server

C2 komunikacija u Wpeeper se uspostavlja pomoću datoteke pod nazivom store.lock, koja može dešifrovati AES-CBC šifrovane podatke ili dekodirati Base64 kodirane C2 servere iz ugrađenih izvora da bi se popunio niz c2_list. Ovaj niz skladišti do 30 trenutnih C2 servera. Wpeeper bot u početku pokušava da dekodira Base64 kodirane C2 servere, šifruje ih koristeći AES-CBC režim, sačuva ih kao store.lock, a zatim nastavi sa komunikacijom i izvršavanjem komande. Ako datoteka već postoji, ona koristi postojeće podatke iz store.lock za komunikaciju umjesto da dekodira nove C2 servere.

Korištenje čvrsto kodiranih C2 u okviru zlonamjernog softvera je uobičajena taktika koju koriste zlonamjerni akteri kako bi osigurali da njihov botnet ostane operativan čak i ako jedan ili više C2 servera uklone bezbjednosne agencije ili druge protivmjere. Međutim, prisustvo ovih čvrsto kodiranih C2 može se koristiti i kao indikatori kompromisa za lovce na prijetnje i one koji reaguju na incidente u potrazi za potencijalnim infekcijama.

 

ZAKLJUČAK

Zlonamjerni softver za Android pod nazivom Wpeeper se širi kroz APK datoteke iz nezvaničnih prodavnica aplikacija koje se predstavljaju kao Uptodown. Koristi zaražene WordPress lokacije kao posredničke releje za svoje C2 servere da bi izbjegao otkrivanje. Do trenutka kada je otkriven, već je zarazio hiljade uređaja, ali pravi obim njegovih operacija ostaje nepoznat.

Wpeeper koristi sofisticirani komunikacioni sistem sa C2 serverima preko zaraženih WordPress lokacija koji djeluju kao releji i šifruju i potpisuju komande koristeći eliptičke krive da bi spriječili presretanje, uz upotrebu tehnike čvrstog kodiranja i dekodiranja da bi dobio svoje C2 servere iz ugrađenih izvora. Kreatori su možda namjerno zaustavili mrežne usluge kao dio strategije izbjegavanja kako bi izbjegli otkrivanje i povećali botnet domet pre nego što se otkriju njegove prave mogućnosti. To je vjerovatno dio strateške odluke da se zadrži diskrecija i izbjegne detekcija od strane sigurnosnih istraživača i automatizovanih sistema.

 

ZAŠTITA

Kako bi se zaštitili od Wpeeper zlonamjernog softvera, neophodno je da korisnici i organizacije razumiju njegovu funkcionalnost i u skladu sa tim primjene protivmjere. Evo nekoliko predloženih koraka:

  1. Uvjeriti se da svi Android uređaji imaju instalirana najnovija ažuriranja operativnog sistema. Ovo će pomoći u ispravljanju svih poznatih ranjivosti koje Wpeeper ili sličan zlonamjerni softver može da iskoristi,
  2. Koristite renomirane prodavnice aplikacija i preuzimati aplikacije samo iz pouzdanih izvora kao što je Google Play prodavnica, jer imaju stroge bezbjednosne mjere da spriječe distribuciju zlonamjernog softvera,
  3. Instalirati pouzdano Android antivirusno rješenje koje može da otkrije i ukloni Wpeeper zlonamjerni softver ili slične prijetnje. Redovno ažurirati antivirusni softver kako bi se osiguralo da ostaje efikasan protiv novih varijanti zlonamjernog softvera,
  4. Potrebno je pratiti mrežne aktivnosti uređaja, posebno ako postoji sumnja da je uređaj zaražen Wpeeper zlonamjernim softverom ili bilo kojim drugim zlonamjernim softverom. Anomalno ponašanje mreže može ukazivati na komunikaciju sa C2 serverima,
  5. Koristite zaštićeno okruženje (eng. sandboxing) za Android aplikacije kako bi se izolovale aplikacije i spriječile da pristupe osjetljivim podacima ili sistemskim resursima bez odgovarajućeg ovlašćenja. Ovo može pomoći u suzbijanju širenja Wpeeper zlonamjernog softvera ako uspije da se infiltrira na uređaj,
  6. Koristiti jaku enkripciju za osjetljive podatke primjenom robusnih algoritama za šifrovanje kao što je AES CBC režim za obezbjeđivanje osjetljivih podataka. Ovo može pomoći u zaštiti informacija čak i ako napadač uspije da dobije neovlašteni pristup uređaju,
  7. Redovno praviti rezervne kopije važnih podataka na svim svojim uređajima. U slučaju infekcije zlonamjernim softverom, kao što je Wpeeper, nedavna rezervna kopija će omogućiti povratak podataka bez gubitka vrijednih informacija, u slučaju gubitka podatka ili da se uređaj mora vratiti na fabrička podešavanja,
  8. Vršiti redovnu edukaciju korisnika o napadima društvenog inženjeringa, jer je to uobičajena taktika koju koriste zlonamjerni akteri poput kreatora Wpeeper zlonamjernog softvera da prevare korisnike da preuzmu i instaliraju zlonamjerni softver. Redovna edukacija korisnika o tome kako da identifikuju ove prijetnje može pomoći u sprečavanju infekcija,
  9. Primjenjivati stroge smjernice za kontrolu pristupa mreži, posebno ako ima više uređaja povezanih na nju. Ovo će pomoći da se ograniči širenje Wpeeper zlonamjernog softvera ili bilo kog drugog zlonamjernog softvera koji bi mogao da pokuša da iskoristi ranjivosti na mreži.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.