Các nhà nghiên cứu an ninh mạng đã phát hiện ra một phần mềm độc hại chưa được ghi nhận trước đây nhắm vào các thiết bị Android sử dụng các trang web WordPress bị xâm nhập làm rơle cho các máy chủ ra lệnh và kiểm soát (C2) thực tế của nó để trốn tránh phát hiện.
Phần mềm độc hại, có tên mã là Wpeeper, là một tệp nhị phân ELF tận dụng giao thức HTTPS để bảo mật thông tin liên lạc C2 của nó.
"Wpeeper là một Trojan cửa hậu điển hình cho các hệ thống Android, hỗ trợ các chức năng như thu thập thông tin thiết bị nhạy cảm, quản lý tệp và thư mục, tải lên và tải xuống và thực hiện các lệnh", các nhà nghiên cứu từ nhóm QiAnXin XLab cho biết.
Nhị phân ELF được nhúng trong một ứng dụng được đóng gói lại có mục đích là ứng dụng UPtodown App Store cho Android (tên gói "com.uptodown"), với tệp APK hoạt động như một phương tiện giao hàng cho cửa hậu theo cách tránh bị phát hiện.
Công ty an ninh mạng Trung Quốc cho biết họ đã phát hiện ra phần mềm độc hại sau khi phát hiện một cổ vật Wpeeper mà không bị phát hiện trên nền tảng VirusTotal vào ngày 18/4/2024. Chiến dịch được cho là đã kết thúc đột ngột bốn ngày sau đó.
Việc sử dụng ứng dụng Uptodown App Store cho chiến dịch cho thấy nỗ lực vượt qua thị trường ứng dụng hợp pháp của bên thứ ba và lừa người dùng không nghi ngờ cài đặt nó. Theo thống kê trên Android-apk.org, phiên bản trojan của ứng dụng (5.92) đã được tải xuống 2.609 lần cho đến nay.
Wpeeper dựa trên kiến trúc C2 nhiều tầng sử dụng các trang web WordPress bị nhiễm làm trung gian để che khuất các máy chủ C2 thực sự của nó. Có tới 45 máy chủ C2 đã được xác định là một phần của cơ sở hạ tầng, chín trong số đó được mã hóa cứng vào các mẫu và được sử dụng để cập nhật danh sách C2 một cách nhanh chóng.
"Các [máy chủ mã hóa cứng] này không phải là C2 mà là C2 redirectors - vai trò của chúng là chuyển tiếp các yêu cầu của bot đến C2 thực, nhằm bảo vệ C2 thực tế khỏi bị phát hiện", các nhà nghiên cứu cho biết.
Điều này cũng đã làm tăng khả năng một số máy chủ được mã hóa cứng nằm dưới sự kiểm soát trực tiếp của họ, vì có nguy cơ mất quyền truy cập vào botnet nếu quản trị viên trang web WordPress nhận được gió của sự thỏa hiệp và thực hiện các bước để sửa chữa nó.
Các lệnh được truy xuất từ máy chủ C2 cho phép phần mềm độc hại thu thập thông tin thiết bị và tệp, danh sách các ứng dụng đã cài đặt, cập nhật máy chủ C2, tải xuống và thực thi các tải trọng bổ sung từ máy chủ C2 hoặc một URL tùy ý và tự xóa.
Mục tiêu và quy mô chính xác của chiến dịch hiện vẫn chưa được biết, mặc dù người ta nghi ngờ rằng phương pháp lén lút có thể đã được sử dụng để tăng số lượng cài đặt và sau đó tiết lộ khả năng của phần mềm độc hại.
Để giảm thiểu rủi ro do phần mềm độc hại như vậy gây ra, bạn chỉ nên cài đặt ứng dụng từ các nguồn đáng tin cậy và xem xét kỹ lưỡng các đánh giá và quyền ứng dụng trước khi tải xuống.