信息化觀察網(wǎng)

本文來自微信公眾號(hào)“嘶吼專業(yè)版”，作者/胡金魚。

有安全研究人員在至少兩家非官方的應(yīng)用程序商店中發(fā)現(xiàn)了一種名為"Wpeper"的新安卓后門惡意軟件，這是一家模仿上端應(yīng)用程序商店的非官方應(yīng)用程序商店。

WPEP的突出之處在于它新的使用，即它受損害的語(yǔ)言網(wǎng)站作為其實(shí)際的指揮和控制(C2)服務(wù)器的中繼器是一種逃避機(jī)制。

Android惡意軟件是由QAX的XLab團(tuán)隊(duì)于2024年4月18日在檢查嵌入到APK（Android包文件）中的先前未知的ELF文件時(shí)發(fā)現(xiàn)的，該文件的病毒檢測(cè)總數(shù)為零。

該活動(dòng)于4月22日突然停止，大概是為了保持低調(diào)并為了避免被安保專業(yè)人員和自動(dòng)化系統(tǒng)發(fā)現(xiàn)。

根據(jù)谷歌和被動(dòng)DNS的數(shù)據(jù)，X實(shí)驗(yàn)室推斷在WPEPOP發(fā)現(xiàn)時(shí)，目前已經(jīng)感染了成千上萬的設(shè)備，但實(shí)際的操作規(guī)模仍然未知。

第三方應(yīng)用程序商店的惡意APK

濫用語(yǔ)言作為C2

WPEPER的新型C2通信系統(tǒng)是為了充分利用受影響的語(yǔ)言媒體網(wǎng)站和中間中繼點(diǎn)，掩蓋了其實(shí)際C2服務(wù)器的位置和身份。

從C2發(fā)送給機(jī)器人的任何命令都是通過這些站點(diǎn)轉(zhuǎn)發(fā)的，它們是另外的AES加密和簽名橢圓曲線簽名，以防止未經(jīng)授權(quán)的第三方接管。

硬編碼C2地址

WPEP可以通過相關(guān)命令的接收來動(dòng)態(tài)地更新其C2服務(wù)器，因此，如果清除了一個(gè)語(yǔ)言媒體站點(diǎn)，則可以向僵尸網(wǎng)絡(luò)發(fā)送不同站點(diǎn)上的新中繼點(diǎn)。

在不同的主機(jī)和地點(diǎn)使用多個(gè)受損害的站點(diǎn)，增加了C2機(jī)制的復(fù)原力，使得關(guān)閉操作變得困難，此舉甚至破壞了單個(gè)受感染的安卓設(shè)備上的數(shù)據(jù)交換。

惡意軟件功能

WPEPER的主要功能是竊取數(shù)據(jù)，這是由其具有13個(gè)不同功能的大量命令所組成的。

后門惡意軟件中的支持命令是：

1.檢索受感染設(shè)備的詳細(xì)信息，如硬件規(guī)格和操作系統(tǒng)細(xì)節(jié)

2.收集設(shè)備上所有已安裝應(yīng)用程序的列表

3.接收新的C2服務(wù)器地址以更新機(jī)器人的命令源列表

4.調(diào)整與C2服務(wù)器的通信頻率

5.接收驗(yàn)證命令簽名的新公鑰

6.從C2服務(wù)器下載任意文件

7.檢索存儲(chǔ)在設(shè)備上的特定文件的信息

8.收集設(shè)備上特定目錄的信息

9.在設(shè)備外殼中運(yùn)行命令

10.下載一個(gè)文件并執(zhí)行它

11.更新惡意軟件并執(zhí)行文件

12.從設(shè)備中刪除惡意軟件

13.從指定的URL下載文件并執(zhí)行它

目前還不清楚這些被盜數(shù)據(jù)是如何使用的，但潛在的風(fēng)險(xiǎn)確認(rèn)包括賬戶劫持、網(wǎng)絡(luò)滲透、情報(bào)收集、身份盜竊和金融欺詐。

為了避免像wpeper這樣的風(fēng)險(xiǎn)出現(xiàn)，建議用戶只從官方應(yīng)用程序商店(谷歌游戲)安裝應(yīng)用程序，并確保操作系統(tǒng)內(nèi)置的反惡意軟件工具“游戲保護(hù)”在設(shè)備上是活躍的。