To nebere konce: další škodlivý kód pro Android má tisíce stažení – krade data, identity a slídí

Jiří Palyza 12.05.2024

V nejméně dvou neoficiálních platformách pro stahování a instalaci aplikací pro Android byl identifikován nový škodlivý kód. Jeho potenciální rizika jsou především neoprávněné ovládnutí účtů, shromažďování informací, krádeže identit a finanční podvody.

Nově objevený malware pro Android dostal název "Wpeeper". Bezpečnostní analytici jej objevili v nejméně dvou platformách s mobilními aplikacemi, které napodobují vzhled oblíbeného obchodu s aplikacemi Uptodown.

Pozoruhodná na novém škodlivém kódu je především skutečnost, že zneužívá kompromitované webové stránky, které běží na redakčním systému WordPress, a slouží jako maskovací cesty pro reálné příkazové a řídící servery, se kterými škodlivý kód z napadených zařízení komunikuje. Malware tak zůstává v mnoha případech neodhalen.

Analytici nový druh škodlivého kódu objevili v polovině dubna 2024, tedy ani ne před měsícem, a to když analyzovali neznámý soubor, který byl vložen do jednoho z instalačních balíků APK. Soubor prošel i testem antivirového agregátoru VirusTotal.

Mohlo by vás zajímat

Víte, co vůbec stahujete? Malware v Česku útočí hlavně z mobilních her

Bezpečnost

Během velmi krátké doby po svém objevení, konkrétně 22. dubna 2024, Wpeeper ukončil své škodlivé aktivity. To naznačuje, že strůjci tohoto útoku se snaží být v maximální míře neviditelní, aby se vyhnuli odhalení bezpečnostními experty a automatickými bezpečnostními systémy.

Podle dat Google a některých DNS k datu svého objevení Wheeper infikoval už tisíce zařízení. Skutečný rozsah jím napáchaných škod ale doposud zůstává neodhalen.

Nový malware pro Android s názvem Wheeper používá inovativní způsob řídící a příkazové komunikace

Alternativní platforma pro stahování aplikací pro Android — Zdrojem infekce novým typem škodlivého kódu jsou falešné platformy pro stahování aplikací, které imitují oblíbenou alternativní platformu Uptodown. Bezpečnostní analytici odhadují počty jeho stažení na tisíce, skutečný rozsah škod, který Wpeeper napáchal, je ale neznámý.

Komunikační a řídící systém malwaru Wpeeper je navržen tak, aby zneužíval zmanipulované weby na WordPressu jako zprostředkovatele, čímž zakrývá polohu a identitu svých skutečných serverů.

Všechny příkazy, odeslané z řídících serverů, putují přes ovládnuté stránky, a jsou také šifrovány standardem AES a digitálně podepsány, aby se zabránilo neoprávněnému přístupu k jejich obsahu.

Škodlivý kód Wpeeper může své řídící a příkazové servery dynamicky aktualizovat. Pokud je některý z kompromitovaných WordPress webů vyčištěn, mohou se do botnetu zapojit další komunikační body na různých jiných webových stránkách.

Mohlo by vás zajímat

Na extrémní trik podvodníků naletí kdekdo: po telefonu vás vystraší, pak vyluxují konto

Bezpečnost

Používáním více komunikačních bodů na ovládnutých hostitelských stránkách se celá řídící a příkazová infrastruktura stává mnohem odolnější a je obtížné zastavit její provoz nebo narušit výměnu dat byť na jediném infikovaném zařízení s Androidem.

Abyste se vyhnuli riziku napadení vašeho zařízení malwarem Wpeeper, bezpečnostní komunita doporučuje stahovat aplikace výhradně z oficiální platformy Obchod Play. Také se ujistěte, zda máte na svém smartphonu či tabletu aktivovaný ochranný mechanismus Play Protect. Jde o zabudovanou bezpečnostní technologii Google, která zabraňuje instalaci škodlivých aplikací.

Zdroj: QAX's XLab, Bleeping Computer