Тысячи Android-устройств заражены: новый вирус Wpeeper атакует любителей халявы

Специалисты QAX XLab выявили новый вид вредоносного ПО для Android — бэкдор Wpeeper, который распространяется через APK-файлы из неофициальных магазинов приложений, маскирующихся под популярный альтернативный магазин Uptodown с более 220 млн. загрузок.

Wpeeper примечателен своей необычной тактикой использования заражённых сайтов на WordPress в качестве промежуточных ретрансляторов для C2-серверов, что является механизмом уклонения от обнаружения.

По данным Google и Passive DNS, к моменту обнаружения Wpeeper уже успел заразить тысячи устройств, но реальный масштаб операций остаётся неизвестным. Вредонос был обнаружен 18 апреля, а 22 апреля деятельность внезапно прекратилась, предположительно в рамках стратегического решения сохранять сдержанность и избегать обнаружения специалистами и автоматизированными системами.

Техническая сторона вируса

Вирус использует сложную систему коммуникации с C2-серверами через заражённые сайты WordPress, которые действуют как ретрансляторы, что затрудняет отслеживание настоящих серверов управления. Команды, передаваемые на зараженные устройства, зашифрованы и подписаны с использованием эллиптических кривых, что предотвращает их перехват.

Основная функциональность Wpeeper включает в себя кражу данных с устройства с помощью набора из 13 различных команд, позволяющих, среди прочего, извлекать детальную информацию о зараженном устройстве, управлять списком приложений, скачивать и выполнять файлы, обновлять или удалять вредоносное ПО.

Меры предосторожности

Операторы Wpeeper и их мотивы остаются неизвестны, однако потенциальные риски включают угон аккаунтов, проникновение в сети, сбор разведданных, кражу личности и финансовый мошенничество.

Для минимизации рисков, связанных с такими угрозами, рекомендуется устанавливать приложения только из официального магазина Google Play и активировать встроенный инструмент защиты от вредоносного ПО Play Protect.