Wpeeper 行動惡意軟體針對 Android 裝置

網路安全研究人員發現了針對 Android 裝置的新惡意軟體。這種名為 Wpeeper 的惡意軟體被發現使用受感染的 WordPress 網站來掩蓋其真正的命令和控制伺服器，使其難以檢測。

Wpeeper 被設計為 ELF 二進位文件，並透過 HTTPS 進行通訊以保護其命令和控制操作。根據奇安信 XLab 團隊介紹，Wpeeper 充當後門木馬，允許攻擊者收集設備資料、管理文件並在受感染設備上執行各種命令。

Wpeeper 內建於 UPtodown 的修改版本中

該惡意軟體透過 Android 版 UPtodown App Store 應用程式（程式包名稱「com.uptodown」）的重新打包版本進行分發。這種方式用於逃避檢測，以受感染的APK檔案作為後門的載體。

QiAnXin XLab 於 2024 年 4 月 18 日在 VirusTotal 上偵測到 Wpeeper 時發現了 Wpeeper，之前沒有被偵測到。四天后，活動突然停止。

Wpeeper 的命令和控制基礎設施涉及使用受感染的 WordPress 網站作為中介，並識別出多達 45 個命令和控制伺服器。其中一些伺服器充當重定向器，將請求轉發到實際的命令和控制伺服器以避免檢測。

該惡意軟體的功能包括收集設備資訊、列出已安裝的應用程式、更新其命令和控制伺服器清單、下載額外的有效負載以及自我刪除。

儘管該活動的確切目標和規模仍不清楚，但 Uptodown App Store 應用程式的使用表明該活動試圖欺騙用戶下載惡意軟體。谷歌聯繫了新聞媒體 The Hacker News 並表示，目前 Google Play 上沒有包含此惡意軟體的應用程序，並且具有 Google Play Protect 的 Android 設備會自動防範惡意應用程序，即使它們來自與 Google Play 商店不同的位置。