Wpeeper モバイル マルウェア

セキュリティアナリストが、Android デバイスを狙った新しいタイプのマルウェアを発見しました。Wpeeper と呼ばれるこのマルウェアはこれまで知られておらず、侵害された WordPress サイトを利用してコマンド アンド コントロール (C2) サーバー接続を隠蔽し、検出を困難にしています。Wpeeper は ELF バイナリとして動作し、C2 サーバーとの安全な通信に HTTPS を使用します。

Wpeeper は Android 用の標準的なバックドア型トロイの木馬として機能し、機密性の高いデバイス データの収集、ファイルとディレクトリの管理、ファイル転送 (アップロードとダウンロード)、リモート コマンドの実行など、さまざまなアクティビティを可能にします。

Wpeeper マルウェアは、侵害された Android アプリケーションを介してデバイスに感染します

侵害された ELF バイナリは、Android 向けの UPtodown App Store アプリケーション (パッケージ名「com.uptodown」) の修正バージョン内に隠されており、APK ファイルは検出を回避するように設計されたバックドアのキャリアとして機能します。

このキャンペーンで Uptodown App Store アプリが選ばれたのは、合法的なサードパーティ アプリ マーケットプレイスを偽装し、何も知らないユーザーを騙してインストールさせようとする試みを示唆しています。Android-apk.org の統計によると、このアプリの侵害バージョン (5.92) はこれまでに 2,609 回ダウンロードされています。

Wpeeperマルウェアは複雑なコマンドアンドコントロールアーキテクチャを利用

Wpeeper は、感染した WordPress サイトを仲介役として利用し、本物の C2 サーバーを難読化する高度な C2 アーキテクチャを採用しています。このインフラストラクチャ内では最大 45 台の C2 サーバーが特定されており、そのうち 9 台はサンプルにハードコードされており、C2 リストを動的に更新します。

これらのハードコードされたサーバーは実際の C2 ではなく、C2 リダイレクターです。その目的は、ボットのリクエストを本物の C2 に転送し、本物の C2 を検出から保護することです。また、WordPress サイトの管理者が侵害に気付いて是正措置を講じた場合、ボットネットへのアクセスを失うリスクがあるため、攻撃者がハードコードされたサーバーの一部を直接制御する可能性があるという懸念も生じています。

攻撃者は感染したデバイス上でさまざまな侵入行為を実行できる

C2 サーバーから受信したコマンドにより、マルウェアはデバイスとファイルの詳細情報を収集し、インストールされているアプリケーションを一覧表示し、C2 サーバーを更新し、C2 サーバーまたは指定された URL から追加のペイロードをダウンロードして実行し、自己削除することができます。

このキャンペーンの全目的と範囲は現時点では不明です。しかし、この欺瞞的な戦術は、インストール数を増やし、マルウェアの機能を暴露するために使用されたのではないかとの疑惑があります。

このようなマルウェアによってもたらされる危険を最小限に抑えるには、信頼できるソースからのアプリのみをインストールし、ダウンロードする前にアプリケーションの評価と権限を慎重に確認することが重要です。