Các nhà nghiên cứu an ninh mạng đã phát hiện ra một phần mềm độc hại mới nhắm mục tiêu vào các thiết bị Android sử dụng các trang web WordPress để làm chuyển tiếp cho các máy chủ ra lệnh và kiểm soát (C2) thực tế của nó nhằm tránh bị phát hiện
Phần mềm độc hại có tên mã là Wpeeper, là một tệp nhị phân ELF tận dụng giao thức HTTPS để bảo mật thông tin liên lạc với máy chủ C2 của nó.
Các nhà nghiên cứu từ nhóm QiAnXin XLab cho biết: “Wpeeper là một Trojan cửa sau điển hình dành cho hệ thống Android, hỗ trợ các chức năng như thu thập thông tin nhạy cảm của thiết bị, quản lý tệp và thư mục, tải lên và tải xuống cũng như thực thi các lệnh tùy ý”.
Tệp nhị phân ELF được nhúng trong một ứng dụng được đóng gói lại có mục đích là ứng dụng UPtodown App Store dành cho Android (tên gói “com.uptodown”), với tệp APK hoạt động như một phương tiện phân phối cho backdoor theo cách tránh bị phát hiện.
Công ty an ninh mạng Trung Quốc cho biết họ đã phát hiện ra phần mềm độc hại sau khi phát hiện ra một tạo phẩm Wpeeper không được phát hiện trên nền tảng VirusTotal vào ngày 18 tháng 4 năm 2024. Chiến dịch được cho là đã kết thúc đột ngột 4 ngày sau đó
Việc sử dụng ứng dụng Uptodown App Store cho chiến dịch cho thấy nỗ lực vượt qua thị trường ứng dụng hợp pháp của bên thứ ba và lừa những người dùng không nghi ngờ cài đặt nó. Theo số liệu thống kê trên Android-apk.org, phiên bản trojan hóa của ứng dụng (5.92) đã được tải xuống 2.609 lần cho đến nay
Wpeeper dựa trên kiến trúc C2 nhiều tầng, sử dụng các trang web WordPress bị nhiễm mã độc làm trung gian để che giấu các máy chủ C2 thực sự của nó. Có tới 45 máy chủ C2 đã được xác định là một phần của cơ sở hạ tầng, 9 trong số đó được mã hóa cứng vào các mẫu và được sử dụng để cập nhật danh sách C2 một cách nhanh chóng
Các nhà nghiên cứu cho biết: “Những [máy chủ được mã hóa cứng] này không phải là C2 mà là bộ chuyển hướng C2 – vai trò của chúng là chuyển tiếp các yêu cầu của bot đến C2 thực, nhằm mục đích bảo vệ C2 thực tế khỏi bị phát hiện”.
Điều này cũng làm tăng khả năng một số máy chủ được mã hóa cứng nằm dưới sự kiểm soát trực tiếp của họ, vì có nguy cơ mất quyền truy cập vào mạng botnet nếu quản trị viên trang WordPress nhận ra sự xâm phạm và thực hiện các bước để khắc phục.
Các lệnh được truy xuất từ máy chủ C2 cho phép phần mềm độc hại thu thập thông tin về thiết bị và tệp, danh sách các ứng dụng đã cài đặt, cập nhật máy chủ C2, tải xuống và thực thi các tải trọng bổ sung từ máy chủ C2 hoặc một URL tùy ý và tự xóa chính nó.
Hiện chưa rõ mục tiêu và quy mô chính xác của chiến dịch, mặc dù người ta nghi ngờ rằng phương pháp lén lút này có thể đã được sử dụng để tăng số lượng cài đặt và sau đó tiết lộ khả năng của phần mềm độc hại.
Để giảm thiểu rủi ro do phần mềm độc hại như vậy gây ra, bạn nên chỉ cài đặt ứng dụng từ các nguồn đáng tin cậy và xem xét kỹ lưỡng các đánh giá và quyền của ứng dụng trước khi tải chúng xuống.
Nguồn: THN