Eine neue Malware auf Android-Geräten ist aktuell auf dem Vormarsch.
Experten erklären, warum sie so gefährlich ist.
Sicherheitsexperten des QAX XLab-Teams haben eine neue Android-Malware namens "Wpeeper" identifiziert, die in mindestens zwei inoffiziellen App-Stores entdeckt wurde und dabei das Erscheinungsbild des beliebten Uptodown App Stores nachahmt.
Bemerkenswert an "Wpeeper" ist der kreative Einsatz von kompromittierten WordPress-Websites, die als Relaisstationen für die eigentlichen Command-and-Control-Server fungieren und somit der Malware helfen, unentdeckt zu bleiben.
Am 18. April 2024 stießen die Analysten während der Untersuchung einer unbekannten ELF-Datei, die in APKs (Android Package Files) eingebettet war und bei Virus Total noch keine Treffer aufwies, auf die Malware.
Innerhalb kürzester Zeit nach der Entdeckung, genau am 22. April, stellte "Wpeeper" seine Aktivitäten ein, was darauf hindeutet, dass die Hintermänner eine geringere Sichtbarkeit anstreben, um sich der Entdeckung durch Sicherheitsexperten und automatisierte Systeme zu entziehen.
Google und Passive DNS-Daten zufolge hatte "Wpeeper" bereits Tausende von Geräten infiziert, als es entdeckt wurde, allerdings bleibt das wahre Ausmaß der Operationen unbekannt.
Android-Malware "Wpeeper": Innovative Command-and-Control-Kommunikation
Das C2-Kommunikationssystem von "Wpeeper" ist so konzipiert, dass es kompromittierte WordPress-Sites als Zwischenrelais nutzt, wodurch der Standort und die Identität seiner tatsächlichen C2-Server verschleiert werden.Alle Befehle, die von den C2-Servern an die Bots gesendet werden, laufen über diese Websites und sind zusätzlich AES-verschlüsselt und durch eine Elliptic Curve Signatur signiert, um eine Übernahme durch Unbefugte zu verhindern.
"Wpeeper" kann seine C2-Server dynamisch aktualisieren, indem es einen entsprechenden Befehl empfängt.
Falls eine WordPress-Site bereinigt wird, können neue Relaispunkte auf verschiedenen Websites an das Botnetz ausgegeben werden.
Durch den Einsatz mehrerer kompromittierter Sites über verschiedene Hosts und Standorte hinweg wird die C2-Infrastruktur widerstandsfähiger und erschwert das Abschalten der Operation oder die Störung des Datenaustausches auf einem einzelnen infizierten Android-Gerät.
Quelle: CHIP Germany