Wpeeper: Нов вирус зарази хиляди устройства с Android
Експертите на QAX XLab идентифицираха нов тип злотворен програмен продукт за Android – Wpeeper, който се популяризира посредством APK файлове от неофициални магазини за приложения, маскирани като известния различен магазин Uptodown с над 220 милиона изтегляния.
Wpeeper се отличава с необикновената си тактичност да употребява инфектирани WordPress уеб сайтове като междинни ретранслатори за C2 сървъри. Това е механизъм за отбягване на откриването му.
Според Гугъл, Wpeeper към този момент е съумял да болести хиляди устройства все още на откриването му, само че действителният мащаб на интервенциите остава незнаен. Зловредният програмен продукт е открит за първи път на 18 април, а активността му ненадейно е прекъсната на 22 април. Това евентуално е част от стратегическо решение за опазване на въздържаност и отбягване на откриването му от експерти и автоматизирани системи.
Техническата страна на вируса
Вирусът употребява комплицирана система за връзка с C2 сървърите посредством инфектирани WordPress уеб сайтове, които работят като ретранслатори. Това затруднява следенето на същинските контролни сървъри. Командите, изпращани към инфектираните устройства се криптират и подписват благодарение на елиптични криви, което не разрешава те да бъдат прихванати.
Основната функционалност на Wpeeper включва кражба на данни от устройството благодарение на набор от 13 разнообразни команди за добиване на подробна информация за инфектираното устройство. Командите включват ръководство на листата с приложения, евакуиране и осъществяване на файлове и актуализиране или унищожаване на злотворен програмен продукт, наред с други неща.
Предпазни ограничения
Операторите на Wpeeper и техните претекстове остават незнайни, само че евентуалните опасности включват завладяване на сметки, навлизане в мрежи, събиране на информация, кражба на идентичност и финансови измами.
За да сведете до най-малко рисковете, свързани с сходни закани, специалистите предлагат да инсталирате приложения единствено от формалния магазин на Гугъл (Play Store) и да активирате вградения инструмент за битка със злотворен програмен продукт Play Protect.
