Система поиска угроз XLab обнаружила вредоносный ELF-файл под названием Wpeeper, который распространялся через два разных домена. Один из доменов был отмечен как вредоносный службами безопасности. Wpeeper - это троянец-бэкдор для систем Android, который имеет многофункциональные возможности, включая сбор конфиденциальной информации, управление файлами и выполнение команд. Характеристики Wpeeper также включают многоуровневую архитектуру C2, использование защищенного протокола HTTPS и шифрование команд.
Wpeeper был распространен через перепакованные приложения из магазина UPtodown Store для Android. Злоумышленники встраивали небольшой фрагмент кода в обычные APK-файлы для загрузки и выполнения вредоносного ELF. UPtodown Store - это сторонний магазин, похожий на Google Play, который имеет большую базу пользователей. 22 апреля внезапно прекратилась активность Wpeeper. Образцы Wpeeper оставались недоступными для служб безопасности, что приводит к предположению, что может быть задействована более масштабная схема.
Нет точных данных о масштабах распространения Wpeeper, но некоторые результаты поиска в Google указывают на тысячи загрузок перепакованных APK-файлов из UPtodown Store. Анализ переупакованных приложений и ELF-файлов показал, что злоумышленники используют различные методы, чтобы обойти обнаружение и распространять вредоносное ПО. Причины внезапного прекращения работы Wpeeper не известны, возможно, злоумышленники решили сдаться или приняли стратегическое решение прекратить активность, чтобы продолжить обход обнаружения.
В целом, Wpeeper представляет опасность для систем Android, так как он может собирать конфиденциальную информацию и выполнить различные команды на зараженном устройстве. Подобные вредоносные программы могут распространяться через перепакованные приложения из сторонних магазинов, что делает их трудно обнаружимыми службами безопасности.
Indicators of Compromise
URLs
- https://4devsolutions.com/4NUAK1/
- https://appflyer.co/downloads/latest/device/android/
- https://atba3li.com/Z99QQ6/
- https://avsecretarial.com/PYWDEL/
- https://barbeariadomarfim.com/BN2TTO/
- https://beanblisscafe.com/MX1OAS/
- https://carloadspry.com/SJI4C1/
- https://carshringaraligarh.com/TBHH4O/
- https://coexisthedge.com/ZF57OA/
- https://dermocuidado.com/8QSCZP/
- https://dibplumber.com/LCN9UJ/
- https://dn.jnipatch.com/downloads/latest/device/android
- https://dodgeagonize.com/KJSLOT/
- https://eamdomai.com/e?token=Tp5D1nRiu3rFOaCbT4PVcewqIhqbQspd8/3550AI/b1MMJttn+xr4oEFJiGx1bCZztteCi5dG1gYFlNTL0Fp8UaMxROCw4cr225ENjOCmT8oQUyMTjjuTo10fAuFsz9j
- https://essentialelearning.com/EVSKOT/
- https://focusframephoto.com/1J10V9/
- https://fontshown.com/4D69BN/
- https://gadeonclub.com/Q9DVGH/
- https://hhfus.com/CUGCCO/
- https://kiwisnowman.com/DC4O03/
- https://masterlogisticsfzco.com/5CBSYC/
- https://mrscanology.com/8GVHT3/
- https://naroyaldiamonds.com/WZJ236/
- https://nt-riccotech.com/Q4LQKN/
- https://nutrivital-in.com/7DB9BC/
- https://ocalacommercialconstruction.com/WXFHF6/
- https://petintrip.com/QPNQSM/
- https://qualitygoodsforconfectioners.com/3QLS47/
- https://rastellimeeting.com/9Q4GOM/
- https://scatsexo.com/NVZ4L0/
- https://schatzrestaurant.com/J2WMA6/
- https://snipsnack.com/T8Q2BN/
- https://socktopiashop.com/4WYZ7I/
- https://speedyrent-sa.com/AIOFB2/
- https://stilesmcgraw.com/1WN2BH/
- https://tartarcusp.com/BZRAWE/
- https://toubainfo.com/G1ACF0/
- https://trashspringield.com/GYNH3A/
- https://vaticanojoyas.com/R5Q7G4/
- https://web.rtekno.com/5XPOS2/
- https://wendyllc.com/QD8490/
- https://www.chasinglydie.com/7V5QT0/
- https://www.civitize.com/0SA67H/
- https://www.cureoscitystaging.com/YKUCU8/
- https://www.elcomparadorseguros.com/A5FDX7/
- https://www.francescocutrupi.com/WJYP89/
- https://www.yitaichi.com/K7ODU6/
- https://wyattotero.com/AQVLLY/
MD5
- 003577a70748ab4ed18af5aecbd0b529
- 32e92509bc4a5e3eb2146fe119c45f55
- 3dab5a687ab46dbbd80189d727637542
