一种新的 Android 恶意软件使用损坏的应用程序窃取互联网用户的个人数据。它谨慎而强大,隐藏在受感染的 WordPress 网站后面。一旦盗窃发生,它就会从受感染的智能手机中消失。
4 月,QAX XLab 团队的研究人员发现了新的 Android 恶意软件的存在。专家给它起了个名字维普,指的是英语动词“to peep”,意思是谨慎地看。该木马经过专门编程,可以从受害者那里捕获敏感数据。
一旦渗透到智能手机上,病毒就会收集硬件规格和操作系统的详细信息,编译已安装应用程序的列表,甚至窃取存储的文件。当收集完成后,Wpeeper 将从设备中删除自身以擦除其痕迹。
Wpeeper 伪装其活动的策略
为了传播恶意软件,操作背后的黑客依赖受感染的应用程序。这些应用程序分布在两个第三方应用商店它使用 Uptodown App Store 界面。这个 Play 商店替代方案在 Android 用户中非常受欢迎。事实上,它的下载量已超过 2.2 亿次。目前,没有迹象表明 Wpeeper 已成功进入 Google Play 商店。
事实上,网络犯罪分子会重新打包在 Uptodown 应用商店中找到的合法应用程序。他们只是添加“一小段代码”旨在安装恶意负载。此策略允许您绕过某些安全机制并逃避防病毒检测。从代码角度来看,该恶意应用与官方版本没有太大区别,是无害的。
研究人员透露,黑客依赖受感染的 WordPress 网站来掩饰他们的活动。该报告指出,这些网站被用作恶意流量的渠道。这些中介将隐藏 Wpeeper 的 C2(命令和控制)通信系统的命令来源。通过使用这些被黑客入侵的 WordPress 网站,攻击者隐藏了其服务器的位置,从而使研究人员和当局更加困难。因此,追踪攻击的起源非常复杂。通过利用 WordPress 或 WordPress 插件中的漏洞,黑客经常设法渗透网站。三月份的一项研究还发现数千个网站已落入黑客手中。
活动神秘关闭
XLab专家注意到“Wpeeper 突然停止运行”2024 年 4 月 22 日。服务器停止发出命令。研究人员怀疑这是旨在不被注意的策略在重新激活病毒的恶意功能之前:
“从战略上来说,自愿关闭网络服务可能会更好,让 APK 在防病毒软件眼中保持‘无辜’状态并增加安装数量。”。
事实上,该恶意软件在不久的将来再次开始监视 Android 用户并非不可能。与往常一样,我们建议您避免使用来自未知第三方商店的应用程序。如果您有疑问,请坚持使用 Play 商店和拥有大量正面评价的已知应用程序。
来源 : X实验室
