Wpeeper backdoor è stato individuato dal team di XLab di QiAnXin mentre analizzava un file ELF precedentemente sconosciuto e distribuito attraverso delle app APK repackaged in store non ufficiali che imitavano UPtodown, un popolare app store di terze parti per dispositivi Android.
“Gli aggressori hanno incorporato un piccolo snippet di codice nei normali APK per scaricare ed eseguire l’ELF dannoso.”, spiegano gli analisti, “A causa della quantità minima di codice aggiunto, anche gli APK modificati attualmente non mostrano alcun rilevamento su VirusTotal“.
Come funziona Wpeeper
Wpeeper è un trojan backdoor tipico per i sistemi Android, che supporta funzioni come la raccolta di informazioni sensibili dal dispositivo, la gestione di file e directory, upload/download e l’esecuzione di comandi. Attualmente Wpeeper supporterebbe un totale di 13 comandi.
Tra le caratteristiche principali delle operazioni di rete meritano invece menzione la costruzione di un’architettura C2 multilivello che si affida a siti WordPress compromessi per nascondere il vero server C2 e la crittografia AES con firma a curva ellittica dei comandi inviati dal C2 per prevenire il takeover.
L’insolita cessazione delle attività
Sebbene il malware Android sia stato scoperto il 18 aprile 2024, il team riferisce che il 22 aprile Wpeeper ha improvvisamente cessato ogni attività smettendo di fornire servizi attraverso i suoi server C2 e downloader, segno di una possibile strategia per mantenere un basso profilo ed eludere il rilevamento.
“Anche il suo attuale misterioso “silenzio” potrebbe probabilmente essere parte della loro strategia di attacco, con l’obiettivo di entrare nel set di campioni di software antivirus di apprendimento dell’intelligenza artificiale come entità affidabile. Una volta che le caratteristiche del Wpeeper vengono apprese dall’intelligenza artificiale come comportamento normale, tali minacce potrebbero rimanere nascoste più a lungo.”, si legge nel rapporto.
Quali implicazioni
La scoperta di Wpeeper solleva serie preoccupazioni riguardo alla sicurezza dei dispositivi Android e l’integrità degli store di terze parti. L’uso di siti WordPress compromessi come server di inoltro per i veri server C2 rappresenta un meccanismo di evasione sofisticato e difficile da contrastare. Inoltre, la capacità di Wpeeper di rimanere nascosto e non rilevato evidenzia la necessità di una vigilanza costante. Mentre si continua a indagare e a cercare di comprendere la portata completa di questa minaccia, è chiaro come Wpeeper rappresenti un nuovo livello di sfida nella lotta contro il malware.
È fondamentale che gli utenti siano consapevoli dei rischi associati al download di applicazioni da store non ufficiali e che mantengano i loro dispositivi e le loro informazioni protette con le migliori pratiche di sicurezza.
Iscriviti alla Newsletter settimanale di Computer Security