Malware Wpeeper para Android se esconde detrás de sitios de WordPress hackeados
Un nuevo malware de puerta trasera para Android llamado 'Wpeeper' ha sido detectado en al menos dos tiendas de aplicaciones no oficiales que imitan a la App Store de Uptodown, una popular tienda de aplicaciones de terceros para dispositivos Android con más de 220 millones de descargas.
Wpeeper se destaca por su novedoso uso de sitios de WordPress comprometidos para actuar como relés para sus servidores de comando y control (C2) reales, actuando como un mecanismo de evasión.
El malware para Android fue descubierto el 18 de abril de 2024 por el equipo XLab de QAX mientras examinaba un archivo ELF previamente desconocido incrustado en APK (archivos de paquetes de Android), que no tenía detecciones en Virus Total.
Los analistas informan que la actividad cesó abruptamente el 22 de abril, presumiblemente como parte de una decisión estratégica para mantener un perfil bajo y evadir la detección por parte de los profesionales de la seguridad y los sistemas automatizados.
Basándose en los datos de Google y Passive DNS, XLab dedujo que Wpeeper ya había infectado miles de dispositivos en el momento de su descubrimiento, pero la escala real de las operaciones sigue siendo desconocida.
{getCard} $type={post} $title={Recomendado}
Abusar de WordPress como un C2
El novedoso sistema de comunicación C2 de Wpeeper está estructurado para aprovechar los sitios de WordPress comprometidos y los puntos de retransmisión intermedios, oscureciendo la ubicación y la identidad de sus servidores C2 reales.
Todos los comandos enviados desde el C2 a los bots se reenvían a través de esos sitios y, además, están encriptados con AES y firmados por una firma de curva elíptica para evitar la toma de control por parte de terceros no autorizados.
Wpeeper puede actualizar sus servidores C2 dinámicamente a través de la recepción de un comando relacionado, por lo que si se limpia un sitio de WordPress, se pueden enviar nuevos puntos de retransmisión en diferentes sitios a la botnet.
El uso de múltiples sitios comprometidos en diferentes hosts y ubicaciones agrega resiliencia al mecanismo C2, lo que dificulta el cierre de la operación o incluso la interrupción del intercambio de datos en un solo dispositivo Android infectado.
{getCard} $type={post} $title={Recomendado}
Capacidades de malware
La funcionalidad principal de Wpeeper gira en torno al robo de datos, facilitado por su amplio conjunto de comandos con 13 funciones distintas.
Los comandos admitidos en el malware de puerta trasera son:
- Recupere información detallada sobre el dispositivo infectado, como especificaciones de hardware y detalles del sistema operativo
- Recopile una lista de todas las aplicaciones instaladas en el dispositivo
- Recibir nuevas direcciones de servidor C2 para actualizar la lista de orígenes de comandos del bot
- Ajustar la frecuencia de comunicación con el servidor C2
- Recibir una nueva clave pública para verificar las firmas de comandos
- Descargar archivos arbitrarios desde el servidor C2
- Recuperar información sobre archivos específicos almacenados en el dispositivo
- Recopilar información sobre directorios específicos en el dispositivo
- Ejecutar comandos en el shell del dispositivo
- Descargar un archivo y ejecutarlo
- Actualice el malware y ejecute un archivo
- Eliminar el malware del dispositivo
- Descargue un archivo desde una URL especificada y ejecútelo
Dado que se desconocen los motivos de los operadores de Wpeeper y de la campaña, no está claro cómo se utilizan los datos robados, pero los riesgos potenciales incluyen el secuestro de cuentas, la infiltración en la red, la recopilación de inteligencia, el robo de identidad y el fraude financiero.
Para evitar riesgos como Wpeeper, se recomienda que solo instale aplicaciones de la tienda de aplicaciones oficial de Android, Google Play, y se asegure de que la herramienta antimalware integrada en el sistema operativo, Play Protect, esté activa en su dispositivo.