Malware móvel Wpeeper tem como alvo dispositivos Android
Pesquisadores em segurança cibernética identificaram um novo malware direcionado a dispositivos Android. Descobriu-se que esse malware, chamado Wpeeper, usa sites WordPress comprometidos para mascarar seus verdadeiros servidores de comando e controle, dificultando sua detecção.
Wpeeper foi projetado como um binário ELF e se comunica por HTTPS para proteger suas operações de comando e controle. De acordo com a equipe QiAnXin XLab, o Wpeeper atua como um Trojan backdoor, permitindo que invasores coletem dados de dispositivos, gerenciem arquivos e executem vários comandos em dispositivos infectados.
Wpeeper entra em uma versão modificada do UPtodown
O malware é distribuído por meio de uma versão reempacotada do aplicativo UPtodown App Store (com nome de pacote “com.uptodown”) para Android. Essa abordagem é usada para evitar a detecção, com o arquivo APK infectado servindo como portador do backdoor.
QiAnXin XLab descobriu o Wpeeper quando o detectou no VirusTotal em 18 de abril de 2024, sem detecção prévia. A campanha cessou abruptamente quatro dias depois.
A infraestrutura de comando e controle do Wpeeper envolve o uso de sites WordPress infectados como intermediários, com até 45 servidores de comando e controle identificados. Alguns desses servidores atuam como redirecionadores, encaminhando solicitações aos servidores de comando e controle reais para evitar a detecção.
Os recursos do malware incluem coletar informações do dispositivo, listar aplicativos instalados, atualizar sua lista de servidores de comando e controle, baixar cargas adicionais e autoexcluir.
Embora os objetivos exatos e a escala da campanha permaneçam obscuros, o uso do aplicativo Uptodown App Store sugere uma tentativa de enganar os usuários para que baixem o malware. O Google entrou em contato com a agência de notícias The Hacker News e afirmou que nenhum aplicativo contendo esse malware está atualmente no Google Play, e os dispositivos Android com Google Play Protect são automaticamente protegidos contra aplicativos maliciosos, mesmo que sejam originados de locais diferentes da Google Play Store.