Mobile Malware Wpeeper zielt auf Android-Geräte ab
Cybersicherheitsforscher haben neue Schadsoftware entdeckt, die auf Android-Geräte abzielt. Die Schadsoftware mit dem Namen Wpeeper nutzt kompromittierte WordPress-Websites, um ihre wahren Command-and-Control-Server zu verbergen, was ihre Erkennung erschwert.
Wpeeper ist als ELF-Binärdatei konzipiert und kommuniziert über HTTPS, um seine Befehls- und Kontrollvorgänge abzusichern. Laut dem QiAnXin XLab-Team fungiert Wpeeper als Backdoor-Trojaner, der es Angreifern ermöglicht, Gerätedaten zu sammeln, Dateien zu verwalten und verschiedene Befehle auf infizierten Geräten auszuführen.
Wpeeper reitet in einer modifizierten Version von UPtodown
Die Malware wird über eine neu verpackte Version der UPtodown App Store-App (mit dem Paketnamen „com.uptodown“) für Android verbreitet. Dieser Ansatz dient dazu, der Erkennung zu entgehen, wobei die infizierte APK-Datei als Träger für die Hintertür dient.
QiAnXin XLab entdeckte Wpeeper, als es es am 18. April 2024 auf VirusTotal entdeckte, ohne dass es zuvor entdeckt worden wäre. Die Kampagne wurde vier Tage später abrupt beendet.
Die Command-and-Control-Infrastruktur von Wpeeper nutzt infizierte WordPress-Sites als Vermittler. Dabei wurden bis zu 45 Command-and-Control-Server identifiziert. Einige dieser Server fungieren als Umleiter und leiten Anfragen an die eigentlichen Command-and-Control-Server weiter, um eine Erkennung zu vermeiden.
Zu den Funktionen der Malware gehören das Sammeln von Geräteinformationen, das Auflisten installierter Apps, das Aktualisieren der Befehls- und Steuerungsserverliste, das Herunterladen zusätzlicher Nutzdaten und die Selbstlöschung.
Obwohl die genauen Ziele und der Umfang der Kampagne unklar bleiben, deutet die Verwendung der Uptodown App Store-App auf einen Versuch hin, Benutzer zum Herunterladen der Malware zu verleiten. Google kontaktierte das Nachrichtenportal The Hacker News und erklärte, dass derzeit keine Apps mit dieser Malware auf Google Play verfügbar seien und Android-Geräte mit Google Play Protect automatisch vor bösartigen Apps geschützt seien, selbst wenn diese von anderen Standorten als dem Google Play Store stammen.