Investigadores de ciberseguridad han descubierto un malware no documentado previamente dirigido a dispositivos Android que utiliza sitios de WordPress comprometidos como retransmisores de sus servidores de comando y control (C2) reales para evadir la detección.
El malware, con nombre en código Wpeeperes un binario ELF que aprovecha el protocolo HTTPS para proteger sus comunicaciones C2.
«Wpeeper es un troyano de puerta trasera típico para sistemas Android, que admite funciones como la recopilación de información confidencial del dispositivo, la gestión de archivos y directorios, la carga y descarga y la ejecución de comandos», investigadores del equipo QiAnXin XLab dicho.
El binario ELF está integrado dentro de una aplicación reempaquetada que pretende ser el Tienda de aplicaciones UPtodown aplicación para Android (nombre del paquete «com.uptodown»), con el archivo APK actuando como vehículo de entrega para la puerta trasera de una manera que evade la detección.
La firma china de ciberseguridad dijo que descubrió el malware después de detectar un artefacto wpeeper con detección cero en la plataforma VirusTotal el 18 de abril de 2024. Se dice que la campaña terminó abruptamente cuatro días después.
El uso de la aplicación Uptodown App Store para la campaña indica un intento de hacerse pasar por un mercado legítimo de aplicaciones de terceros y engañar a usuarios desprevenidos para que lo instalen. De acuerdo a estadísticas En Android-apk.org, la versión troyanizada de la aplicación (5.92) se ha descargado hasta la fecha 2.609 veces.
Wpeeper se basa en una arquitectura C2 de varios niveles que utiliza sitios de WordPress infectados como intermediario para ocultar sus verdaderos servidores C2. Se han identificado hasta 45 servidores C2 como parte de la infraestructura, nueve de los cuales están codificados en las muestras y se utilizan para actualizar la lista C2 sobre la marcha.
«Estos [hard-coded servers] «No son C2 sino redirectores de C2: su función es reenviar las solicitudes del bot al C2 real, con el objetivo de proteger al C2 real de la detección», dijeron los investigadores.
Esto también ha planteado la posibilidad de que algunos de los servidores codificados estén directamente bajo su control, ya que existe el riesgo de perder el acceso a la botnet si los administradores del sitio WordPress se enteran del compromiso y toman medidas para corregirlo.
Los comandos recuperados del servidor C2 permiten que el malware recopile información de dispositivos y archivos, una lista de aplicaciones instaladas, actualice el servidor C2, descargue y ejecute cargas útiles adicionales desde el servidor C2 o una URL arbitraria y se autoborre.
Actualmente se desconocen los objetivos exactos y la escala de la campaña, aunque se sospecha que el método furtivo puede haberse utilizado para aumentar el número de instalaciones y luego revelar las capacidades del malware.
Para mitigar los riesgos que plantea este tipo de malware, siempre se recomienda instalar aplicaciones sólo de fuentes confiables y examinar las revisiones y los permisos de las aplicaciones antes de descargarlas.