Scoperta una nuova backdoor per Android: Wpeeper si nasconde nel popolare store Uptodown

Gli esperti di QAX XLab hanno identificato un nuovo tipo di malware Android  la backdoor Wpeeper, che viene distribuita tramite file APK da negozi di applicazioni non ufficiali mascherati da popolare negozio alternativo Uptodown con oltre 220 milioni di download.

Wpeeper si distingue per la sua tattica insolita di utilizzare siti WordPress infetti come relè intermedi per i server C2, come meccanismo per eludere il rilevamento.

Secondo Google e Passive DNS, quando è stato scoperto, Wpeeper aveva già infettato migliaia di dispositivi, ma la reale portata delle sue operazioni rimane sconosciuta. Il malware è stato scoperto il 18 aprile e l’attività è cessata improvvisamente il 22 aprile, presumibilmente come parte di una decisione strategica di mantenere un profilo basso ed evitare il rilevamento da parte di specialisti e sistemi automatizzati.

Il lato tecnico del virus

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Il virus utilizza un complesso sistema di comunicazione con i server C2 attraverso siti WordPress infetti, che fungono da relè, rendendo difficile il tracciamento dei veri server di controllo. I comandi inviati ai dispositivi infetti vengono crittografati e firmati utilizzando curve ellittiche, che ne impediscono l’intercettazione.

La funzionalità principale di Wpeeper consiste nel rubare dati da un dispositivo utilizzando una serie di 13 comandi diversi che consentono, tra le altre cose, di estrarre informazioni dettagliate sul dispositivo infetto, gestire l’elenco delle applicazioni, scaricare ed eseguire file, aggiornare o rimuovere malware.

Misure precauzionali

Gli operatori Wpeeper e le loro motivazioni rimangono sconosciuti, ma i rischi potenziali includono il dirottamento degli account, l’infiltrazione nella rete, la raccolta di informazioni, il furto di identità e la frode finanziaria.

Per ridurre al minimo i rischi associati a tali minacce, si consiglia di installare le applicazioni solo dal Google Play Store ufficiale e di attivare lo strumento antimalware integrato Play Protect.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.