Investigadores en ciberseguridad han descubierto un nuevo malware dirigido a dispositivos Android que utiliza sitios de WordPress comprometidos como retransmisores para sus servidores de comando y control (C2). El malware, denominado Wpeeper, es un binario ELF que utiliza HTTPS para sus comunicaciones C2.
Según el equipo QiAnXin XLab, Wpeeper es un troyano de puerta trasera para Android que realiza tareas como recolección de información sensible, gestión de archivos, transferencia de archivos y ejecución de comandos.
El binario ELF se encuentra en una aplicación reempaquetada que simula ser la tienda de aplicaciones UPtodown para Android (nombre de paquete «com.uptodown»), lo que le permite evadir la detección.
La firma china de ciberseguridad descubrió el malware el 18 de abril de 2024, cuando no había sido detectado por ninguna plataforma en VirusTotal. La campaña concluyó cuatro días después.
Wpeeper utiliza una arquitectura de C2 de múltiples niveles que emplea sitios de WordPress infectados como intermediarios para ocultar sus servidores C2 reales, identificándose hasta 45 servidores C2 como parte de la infraestructura, nueve de los cuales están codificados en las muestras y se utilizan para actualizar la lista de C2.
Además, existe la posibilidad de que algunos de los servidores codificados estén directamente bajo control, lo que plantea el riesgo de perder acceso a la botnet si los administradores de WordPress corrigen la situación.
Los comandos del servidor C2 permiten a Wpeeper recopilar información, listar aplicaciones instaladas, actualizar el C2, descargar y ejecutar cargas adicionales, y autodestruirse, con objetivos y alcance actualmente desconocidos.
Para mitigar los riesgos, se recomienda instalar aplicaciones solo desde fuentes confiables y revisar las reseñas y permisos antes de descargarlas.
Vía The Hacker News
