Un nouveau malware de porte dérobée Android nommé « Wpeeper » a été repéré dans au moins deux magasins d’applications non officiels imitant l’App Store Uptodown, un magasin d’applications tiers populaire pour les appareils Android avec plus de 220 millions de téléchargements.

WPeeper se distingue par son utilisation novatrice de sites WordPress compromis pour agir en tant que relais pour ses serveurs de commande et de contrôle (C2) réels, agissant comme un mécanisme d’évasion.

Le malware Android a été découvert le 18 avril 2024 par l’équipe XLab de QAX lors de l’examen d’un fichier ELF jusque-là inconnu intégré dans des fichiers APK (fichiers de package Android), qui n’avait aucune détection sur le total des virus.

Les analystes rapportent que l’activité a cessé brusquement le 22 avril, vraisemblablement dans le cadre d’une décision stratégique de maintenir un profil bas et d’échapper à la détection par les professionnels de la sécurité et les systèmes automatisés.

Sur la base de Google et de données DNS passives, XLab a déduit que Pepper avait déjà infecté des milliers d’appareils au moment de sa découverte, mais l’ampleur réelle des opérations reste inconnue.

L’APK malveillant sur un magasin d’applications tiers

Abuser de WordPress en tant que C2
Le nouveau système de communication C2 de WPeepers est structuré pour tirer parti des sites WordPress compromis et des points de relais intermédiaires, masquant l’emplacement et l’identité de ses serveurs C2 réels.

Toutes les commandes envoyées du C2 aux robots sont transmises via ces sites, et elles sont en outre cryptées AES et signées par une signature de courbe elliptique pour empêcher la prise de contrôle par des tiers non autorisés.

Adresses C2 codées en dur

Wpeeper peut mettre à jour ses serveurs C2 dynamiquement via la réception d’une commande associée, donc si un site WordPress est nettoyé, de nouveaux points de relais sur différents sites peuvent être envoyés au botnet.

L’utilisation de plusieurs sites compromis sur différents hôtes et emplacements ajoute de la résilience au mécanisme C2, ce qui rend difficile l’arrêt de l’opération ou même la perturbation de l’échange de données sur un seul appareil Android infecté.

Capacités des logiciels malveillants
La fonctionnalité principale de WPeepers tourne autour du vol de données, facilité par son vaste ensemble de commandes comportant 13 fonctions distinctes.

Les commandes prises en charge dans le malware de la porte dérobée sont:

  1. Récupérez des informations détaillées sur l’appareil infecté, telles que les spécifications matérielles et les détails du système d’exploitation
  2. Rassemblez une liste de toutes les applications installées sur l’appareil
  3. Recevez de nouvelles adresses de serveur C2 pour mettre à jour la liste des sources de commandes du bot
  4. Ajuster la fréquence de communication avec le serveur C2
  5. Recevoir une nouvelle clé publique pour vérifier les signatures de commande
  6. Télécharger des fichiers arbitraires à partir du serveur C2
  7. Récupérer des informations sur des fichiers spécifiques stockés sur l’appareil
  8. Recueillir des informations sur des répertoires spécifiques sur l’appareil
  9. Exécuter des commandes dans le shell de l’appareil
  10. Télécharger un fichier et l’exécuter
  11. Mettez à jour le malware et exécutez un fichier
  12. Supprimez le malware de l’appareil
  13. Téléchargez un fichier à partir d’une URL spécifiée et exécutez-le

Étant donné que les opérateurs de Wpeeper et les motivations de la campagne sont inconnus, la manière dont les données volées sont utilisées n’est pas claire, mais les risques potentiels incluent le détournement de compte, l’infiltration de réseau, la collecte de renseignements, le vol d’identité et la fraude financière.

Pour éviter des risques tels que Wpeeper, il est recommandé d’installer uniquement des applications à partir de la boutique d’applications officielle d’Android, Google Play, et de vous assurer que l’outil anti-malware intégré au système d’exploitation, Play Protect, est actif sur votre appareil.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *