Wpeeper มัลแวร์ Android ใช้ไซต์ WordPress ที่ถูกบุกรุกเพื่อซ่อนเซิร์ฟเวอร์ C2
2024.05.10
Wpeeper มัลแวร์ Android ใช้ไซต์ WordPress ที่ถูกบุกรุกเพื่อซ่อนเซิร์ฟเวอร์ C2
นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบมัลแวร์ที่ไม่มีเอกสารซึ่งก่อนหน้านี้กำหนดเป้าหมายไปที่อุปกรณ์ Android ที่ใช้ไซต์ WordPress ที่ถูกบุกรุกเป็นรีเลย์สำหรับเซิร์ฟเวอร์คำสั่งและการควบคุม (C2) จริงสำหรับการหลบเลี่ยงการตรวจจับ
มัลแวร์ชื่อรหัสว่าWpeeperเป็นไบนารีของ ELF ที่ใช้ประโยชน์จากโปรโตคอล HTTPS เพื่อรักษาความปลอดภัยการสื่อสาร C2
“Wpeeper เป็นโทรจันลับๆ ทั่วไปสำหรับระบบ Android ซึ่งรองรับฟังก์ชันต่างๆ เช่น การรวบรวมข้อมูลอุปกรณ์ที่ละเอียดอ่อน การจัดการไฟล์และไดเร็กทอรี การอัพโหลดและดาวน์โหลด และการดำเนินการคำสั่ง” นักวิจัยจากทีม QiAnXin XLab กล่าว
ไบนารี ELF ถูกฝังอยู่ในแอปพลิเคชันที่บรรจุใหม่ซึ่งอ้างว่าเป็น แอป UPtodown App Storeสำหรับ Android (ชื่อแพ็คเกจ “com.uptodown”) โดยมีไฟล์ APK ทำหน้าที่เป็นพาหนะในการจัดส่งสำหรับประตูหลังในลักษณะที่หลบเลี่ยงการตรวจจับ
บริษัทรักษาความปลอดภัยทางไซเบอร์ของจีนกล่าวว่าค้นพบมัลแวร์หลังจากตรวจพบสิ่งประดิษฐ์ Wpeeperที่ไม่มีการตรวจจับบนแพลตฟอร์ม VirusTotal เมื่อวันที่ 18 เมษายน 2024 กล่าวกันว่าแคมเปญดังกล่าวสิ้นสุดลงอย่างกะทันหันในอีกสี่วันต่อมา
การใช้แอป Uptodown App Store สำหรับแคมเปญบ่งบอกถึงความพยายามที่จะส่งต่อตลาดแอปบุคคลที่สามที่ถูกต้องตามกฎหมาย และหลอกให้ผู้ใช้ที่ไม่สงสัยติดตั้งแอปดังกล่าว ตามสถิติบน Android-apk.org พบว่าแอปเวอร์ชันโทรจัน (5.92) ได้รับการดาวน์โหลดแล้ว 2,609 ครั้ง
Wpeeper อาศัยสถาปัตยกรรม C2 หลายระดับที่ใช้ไซต์ WordPress ที่ติดไวรัสเป็นตัวกลางในการปิดบังเซิร์ฟเวอร์ C2 ที่แท้จริง เซิร์ฟเวอร์ C2 มากถึง 45 เครื่องได้รับการระบุว่าเป็นส่วนหนึ่งของโครงสร้างพื้นฐาน โดยมีเซิร์ฟเวอร์ 9 เครื่องที่ได้รับการฮาร์ดโค้ดลงในตัวอย่าง และใช้เพื่ออัปเดตรายการ C2 ได้ทันที
“เซิร์ฟเวอร์ฮาร์ดโค้ดเหล่านี้ไม่ใช่ C2 แต่เป็นตัวเปลี่ยนเส้นทาง C2 บทบาทของพวกเขาคือการส่งต่อคำขอของบอทไปยัง C2 จริง โดยมีจุดประสงค์เพื่อปกป้อง C2 จริงจากการตรวจจับ” นักวิจัยกล่าว
สิ่งนี้ยังทำให้เกิดความเป็นไปได้ที่เซิร์ฟเวอร์ฮาร์ดโค้ดบางตัวอยู่ภายใต้การควบคุมโดยตรง เนื่องจากมีความเสี่ยงที่จะสูญเสียการเข้าถึงบ็อตเน็ตหากผู้ดูแลเว็บไซต์ WordPress ทราบข่าวว่าถูกประนีประนอมและดำเนินการแก้ไข
คำสั่งที่ดึงมาจากเซิร์ฟเวอร์ C2 ช่วยให้มัลแวร์รวบรวมข้อมูลอุปกรณ์และไฟล์ รายการแอพที่ติดตั้ง อัปเดตเซิร์ฟเวอร์ C2 ดาวน์โหลดและดำเนินการเพย์โหลดเพิ่มเติมจากเซิร์ฟเวอร์ C2 หรือ URL ที่กำหนดเอง และลบตัวเองด้วยตนเอง
ขณะนี้ยังไม่ทราบเป้าหมายและขนาดที่แน่นอนของแคมเปญ แม้ว่าจะสงสัยว่าอาจใช้วิธีลับๆ ล่อๆ เพื่อเพิ่มจำนวนการติดตั้ง และเปิดเผยความสามารถของมัลแวร์
เพื่อลดความเสี่ยงที่เกิดจากมัลแวร์ดังกล่าว ขอแนะนำเสมอให้ติดตั้งแอปจากแหล่งที่เชื่อถือได้เท่านั้น และพิจารณาตรวจสอบบทวิจารณ์และการอนุญาตของแอปอย่างละเอียดก่อนที่จะดาวน์โหลด
แหล่งข่าว https://thehackernews.com/2024/05/android-malware-wpeeper-uses.html
ขอบคุณครับ
บริษัท a2network (Thailand ) จำกัด
ติดต่อ : 02-261-3020
บทความที่เกี่ยวข้อง
ข่าว
ความปลอดภัย
บริษัทรักษาความปลอดภัยทางไซเบอร์ปฏิเสธการเทคโอเวอร์ Google มูลค่า 23,000 ล้านดอลลาร์
Wiz บริษัทรักษาความปลอดภัยทางไซเบอร์ของอิสราเอล ปฏิเสธข้อเสนอเทคโอเวอร์มูลค่า 23,000 ล้านดอลลาร์สหรัฐฯ (17,800 ล้านปอนด์) จากบริษัทแม่ของ Google อย่าง Alphabet ซึ่งถือเป็นการเข้าซื้อกิจการครั้งใหญ่ที่สุดเท่าที่เคยมีมา ในบันทึกภายในถึงพนักงานของ BBC ผู้ก่อตั้ง Wiz และประธานเจ้าหน้าที่บริหาร Assaf Rappaport กล่าวว่าเขา "รู้สึกยินดี" กับข้อเสนอนี้
2024.07.25
ข่าว
ความปลอดภัย
ทำความรู้จัก “CrowdStrike“ คืออะไร ? ต้นเหตุทำวิกฤติจอฟ้าทั่วโลก
ทำความรู้จัก “CrowdStrike“ คืออะไร ? ต้นเหตุทำวิกฤติจอฟ้าทั่วโลก
2024.07.23
ข่าว
ความปลอดภัย
โทรจัน Anatasa Banking กลับมาอีกครั้ง มุ่งเป้าไปที่ธนาคารในยุโรป
ตามข้อมูลใหม่โดยนักวิจัย ThreatFabric พบว่าแคมเปญโทรจันธนาคาร Anatsa พุ่งเป้าไปที่ธนาคารในยุโรปมากขึ้นเรื่อยๆ นับตั้งแต่เปิดตัวอีกครั้งในเดือนพฤศจิกายน พ.ศ. 2566 แคมเปญอานาตสาได้แสดงออกใน 5 กลุ่มที่แตกต่างกัน โดยกำหนดเป้าหมายไปยังภูมิภาคต่างๆ รวมถึงสโลวาเกีย สโลวีเนีย ควบคู่ไปกับพื้นที่ที่ได้รับผลกระทบก่อนหน้านี้ เช่น สหราชอาณาจักร เยอรมนี และสเปน โดยเฉพาะอย่างยิ่ง แคมเปญได้พัฒนากลยุทธ์ตั้งแต่ปีที่แล้ว โดยใช้วิธีการที่ซับซ้อน เช่น การละเมิดบริการการเข้าถึง และกระบวนการติดไวรัสหลายขั้นตอน
2024.06.06
