Siber güvenlik araştırmacıları, tespitten kaçınmak için gerçek komuta ve kontrol (C2) sunucuları için aktarıcı olarak ele geçirilen WordPress sitelerini kullanan, Android cihazlarını hedef alan, daha önce belgelenmemiş bir kötü amaçlı yazılım keşfetti.
Kod adı verilen kötü amaçlı yazılım WpeeperC2 iletişimlerini güvence altına almak için HTTPS protokolünü kullanan bir ELF ikili programıdır.
QiAnXin XLab ekibinden araştırmacılar, “Wpeeper, hassas cihaz bilgilerini toplama, dosya ve dizinleri yönetme, yükleme ve indirme ve komutları yürütme gibi işlevleri destekleyen, Android sistemleri için tipik bir arka kapı Truva atıdır” dedi.
ELF ikili dosyası, Android için UPtodown App Store uygulaması (paket adı “com.uptodown”) olduğu iddia edilen yeniden paketlenmiş bir uygulamanın içine yerleştirilmiştir; APK dosyası, tespitten kaçacak şekilde arka kapı için bir dağıtım aracı görevi görür.
Çinli siber güvenlik firması, 18 Nisan 2024’te VirusTotal platformunda sıfır tespitli bir Wpeeper eseri tespit ettikten sonra kötü amaçlı yazılımı keşfettiğini söyledi. Kampanyanın dört gün sonra aniden sona erdiği söyleniyor.
Kampanya için Uptodown App Store uygulamasının kullanılması, meşru bir üçüncü taraf uygulama pazarını tanıtma ve şüphelenmeyen kullanıcıları bu uygulamayı yüklemeleri için kandırma girişimini gösterir. Android-apk.org’daki istatistiklere göre uygulamanın truva atı haline getirilmiş sürümü (5.92) bugüne kadar 2.609 kez indirildi.
Wpeeper, gerçek C2 sunucularını gizlemek için virüslü WordPress sitelerini aracı olarak kullanan çok katmanlı bir C2 mimarisine güveniyor. Altyapının bir parçası olarak 45 kadar C2 sunucusu belirlendi; bunlardan dokuzu örneklere sabit olarak kodlandı ve C2 listesini anında güncellemek için kullanıldı.
“Bunlar [hard-coded servers] Araştırmacılar, “Bunlar C2 değil, C2 yeniden yönlendiricileridir; rolleri botun isteklerini gerçek C2’ye ileterek gerçek C2’yi tespit edilmekten korumaktır” dedi.
Bu aynı zamanda bazı sabit kodlu sunucuların doğrudan kontrolleri altında olma olasılığını da artırdı; çünkü WordPress site yöneticilerinin bu tehlikeden haberdar olması ve bunu düzeltmek için adımlar atması durumunda botnet’e erişimi kaybetme riski vardır.
C2 sunucusundan alınan komutlar, kötü amaçlı yazılımın cihaz ve dosya bilgilerini toplamasına, yüklü uygulamaların listesini toplamasına, C2 sunucusunu güncellemesine, C2 sunucusundan veya rastgele bir URL’den ek yükler indirip yürütmesine ve kendini silmesine olanak tanır.
Kampanyanın kesin hedefleri ve ölçeği şu anda bilinmiyor, ancak sinsi yöntemin kurulum sayısını artırmak ve ardından kötü amaçlı yazılımın yeteneklerini ortaya çıkarmak için kullanılmış olabileceğinden şüpheleniliyor.
Bu tür kötü amaçlı yazılımların oluşturduğu riskleri azaltmak için, uygulamaları yalnızca güvenilir kaynaklardan yüklemeniz ve bunları indirmeden önce uygulama incelemelerini ve izinlerini incelemeniz önerilir.