220 milyondan fazla indirme ile Android cihazlar için popüler bir üçüncü taraf uygulama mağazası olan Uptodown App Store'u taklit eden en az iki gayri resmi uygulama mağazasında 'WPEEPER' adlı yeni bir Android arka kapı kötü amaçlı yazılımı tespit edildi.
Wpeeper, bir kaçakçılık mekanizması olarak hareket eden gerçek komut ve kontrol (C2) sunucuları için röleler olarak hareket etmek için tehlikeye atılan WordPress sitelerinin yeni kullanımı için öne çıkıyor.
Android kötü amaçlı yazılım, 18 Nisan 2024'te Qax'ın XLAB ekibi tarafından keşfedildi ve virüs toplamında sıfır algılamaya sahip APK'lara (Android Paket Dosyaları) gömülü daha önce bilinmeyen bir ELF dosyasını inceledi.
Analistler, etkinliğin 22 Nisan'da aniden durduğunu, muhtemelen düşük profili korumak ve güvenlik profesyonelleri ve otomatik sistemler tarafından algılamadan kaçmak için stratejik bir kararın bir parçası olarak durduğunu bildiriyor.
Google ve pasif DNS verilerine dayanarak, XLab, WPEPER'in keşif sırasında binlerce cihazı zaten enfekte ettiğini, ancak gerçek operasyon ölçeğinin bilinmemektedir.
WPEPER'in yeni C2 iletişim sistemi, gerçek C2 sunucularının konumunu ve kimliğini gizleyerek tehlikeye atılan WordPress sitelerinden ve ara röle noktalarından yararlanacak şekilde yapılandırılmıştır.
C2'den botlara gönderilen komutlar bu siteler aracılığıyla iletilir ve ayrıca AES şifrelenir ve yetkisiz üçüncü tarafların devralınmasını önlemek için eliptik bir eğri imzası ile imzalanır.
WPEPER, C2 sunucularını ilgili bir komutun alımı yoluyla dinamik olarak güncelleyebilir, bu nedenle bir WordPress sitesi temizlenirse, farklı sitelerdeki yeni aktarma noktaları botnet'e gönderilebilir.
Farklı ana bilgisayarlarda ve konumlardaki birden fazla tehlikeye atılmış site kullanmak, C2 mekanizmasına dayanıklılık katar, bu da işlemi kapatmayı veya hatta tek bir enfekte Android cihazında veri alışverişini bozmayı zorlaştırır.
WPEPER'in birincil işlevselliği, 13 farklı işlev içeren kapsamlı komutları ile kolaylaştırılan verileri çalma etrafında döner.
Arka kapı kötü amaçlı yazılımdaki desteklenen komutlar:
WPEPER operatörleri ve kampanyanın güdüleri bilinmediğinden, çalınan verilerin nasıl kullanıldığı açık değildir, ancak potansiyel riskler hesabı kaçırma, ağ sızma, istihbarat toplama, kimlik hırsızlığı ve finansal dolandırıcılığı içerir.
WPEEPER gibi risklerden kaçınmak için, yalnızca Android'in resmi uygulama mağazası Google Play'den uygulamaları yüklemeniz ve işletim sisteminin yerleşik anti-yazılım önleme aracının Play Protect, cihazınızda etkin olmasını sağlamanız önerilir.
Yeni Brokewell kötü amaçlı yazılım Android cihazları devralır, verileri çalar
Soumnibot kötü amaçlı yazılım, algılamadan kaçınmak için Android hatalarından yararlanır
Yeni Latrodectus kötü amaçlı yazılım saldırıları Microsoft, Cloudflare temalarını kullanıyor
Google, 2023'te Play Store'dan 2.28 milyon riskli Android uygulamasını reddetti
Hackerlar, Guptiminer kötü amaçlı yazılımları bırakmak için antivirüs güncellemelerini ele geçiriyor
Kaynak: Bleeping Computer