01 de mayo de 2024Sala de prensaMalware / Android Cybersecurity investigadores han descubierto un malware no documentado previamente dirigido a dispositivos Android que utiliza sitios de WordPress comprometidos como retransmisiones para sus servidores de comando y control (C2) reales para evadir la detección. El malware, cuyo nombre en código es Wpeeper, es un binario ELF que aprovecha el protocolo HTTPS para proteger sus comunicaciones C2. «Wpeeper es un típico troyano de puerta trasera para sistemas Android, que admite funciones como la recopilación de información confidencial del dispositivo, la gestión de archivos y directorios, la carga y descarga y la ejecución de comandos», dijeron investigadores del equipo de QiAnXin XLab. El binario ELF está incrustado dentro de una aplicación reempaquetada que pretende ser la aplicación UPtodown App Store para Android (nombre del paquete «com.uptodown»), con el archivo APK actuando como un vehículo de entrega para la puerta trasera de una manera que evade la detección. La empresa china de ciberseguridad dijo que descubrió el malware después de detectar un artefacto Wpeeper sin detección en la plataforma VirusTotal el 18 de abril de 2024. Se dice que la campaña llegó a un final abrupto cuatro días después. El uso de la aplicación Uptodown App Store para la campaña indica un intento de hacerse pasar por un mercado legítimo de aplicaciones de terceros y engañar a usuarios desprevenidos para que lo instalen. Según las estadísticas de Android-apk.org, la versión troyanizada de la aplicación (5.92) se ha descargado 2.609 veces hasta la fecha. Wpeeper se basa en una arquitectura C2 de varios niveles que utiliza sitios de WordPress infectados como intermediario para ocultar sus verdaderos servidores C2. Se han identificado hasta 45 servidores C2 como parte de la infraestructura, nueve de los cuales están codificados en las muestras y se utilizan para actualizar la lista C2 sobre la marcha. «Estos [hard-coded servers] no son C2 sino redirectores de C2: su función es reenviar las solicitudes del bot al C2 real, con el objetivo de proteger al C2 real de la detección», dijeron los investigadores. Esto también ha planteado la posibilidad de que algunos de los servidores codificados sean directamente bajo su control, ya que existe el riesgo de perder el acceso a la botnet si los administradores del sitio de WordPress se enteran del compromiso y toman medidas para corregirlo. Los comandos recuperados del servidor C2 permiten que el malware recopile información del dispositivo y del archivo. de aplicaciones instaladas, actualizar el servidor C2, descargar y ejecutar cargas útiles adicionales desde el servidor C2 o una URL arbitraria, y autoeliminarse. Los objetivos exactos y la escala de la campaña se desconocen actualmente, aunque se sospecha que el método furtivo puede haberlo hecho. se ha utilizado para aumentar el número de instalaciones y luego revelar las capacidades del malware. Para mitigar los riesgos que plantea dicho malware, siempre se recomienda instalar aplicaciones solo de fuentes confiables y examinar las revisiones y permisos de las aplicaciones antes de descargarlas. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.