Bezpečnostní experti si to nevedia vysvetliť: Zákerný malvér sa stal zo dňa na deň neaktívny
Malvér Wpeeper sa šíri cez infikované aplikácie, no zo dňa na deň sa stal neaktívnym a dokonca sa sám vymazal. Experti sa boja, že hackeri chystajú niečo väčšie.
Bezpečnostní experti z Xlab odhalili malvér, ktorý sa šíril cez dve odlišné domény. Prvú označilo niekoľko bezpečnostných spoločností ako škodlivú, zatiaľ čo tá druhá nemala žiadne varovania.
Cez domény sa šíril nebezpečný ELF súbor, ktorý obsahoval malvér Wpeeper. Tento škodlivý softvér cielil na Android zariadenia a ide o pomerne bežné zadné dvierka. Tie hackerom dovoľujú dostať sa do infikovaného zariadenia, keď potrebujú. Popri tom tieto zadné dvierka monitorujú zariadenie, hľadajú citlivé súbory a tie posielajú na hackerské C2 servery.
Wpeeper však dokáže do zariadenia sťahovať ďalší softvér a vykonávať rozličné príkazy. Bezpečnostných expertov prekvapilo, že hackeri si v tomto prípade dali prácu s vybudovaním niekoľkoúrovňovej serverovej štruktúry. Ako command and control servery využívajú totiž infikované WordPress stránky.
Ako bezpečnostní experti vysvetľujú, Wpeeper vznikol z prebalených aplikácií v obchode UPtodown. Hackeri priložili malú časť kódu do inak normálnych aplikácií na stiahnutie. To, že pridali len minimálne množstvo kódu, im dovolilo prekĺznuť cez detekčné systémy VirusTotal.
UPtodown je jednou z populárnejších platforiem na internete. Podobá sa na Obchod Play a má globálnu užívateľskú základňu. Aj preto sa pravdepodobne stala terčom pre hackerov.
Neprehliadnite
Ďalším prekvapením pre bezpečnostných analytikov bolo, že v apríli aktivita vírusu drasticky prestala. C2 hackerské servery a downloadery prestali poskytovať službu. Experti nenašli dôvod, ktorý by uspokojivo vysvetlili túto náhlu zmenu aktivity. Nevylučujú ale, že všetko môže byť súčasťou väčšieho plánu.
Posledný príkaz pre malvér Wpeeper bol, aby sa malvér sám vymazal. Odvtedy celá hackerská kampaň zamrzla.
“Prečo tvorcovia malvéru Wpeeper prestali? Možno sa rozhodli vzdať sa, ale existuje ešte jedna možnosť. Prebalené aplikácie slúžili ako downloadery pre zadné dvierka Wpeeper a dokázali sa vyhnúť odhaleniu. Lenže tam, kde pozorujeme sieťovú aktivitu, môžeme vždy odhaliť malvér. Útočníci mohli usúdiť, že ponechať infikované aplikácie “spiace”, im môže umožniť uchovať ich infikovaný status o niečo dlhšie,” tvrdia bezpečnostní experti.
Bezpečnostní experti čakajú, že o malvéri ešte budeme počuť
Znamená to, že infikované aplikácie stiahne viac užívateľov. Tí nebudú vedieť o tom, že majú v zariadení malvér a malvér aspoň zatiaľ nerobí žiadnu škodlivú vec. Až neskôr, keď ho útočníci aktivujú, začne špehovať nič netušiacich užívateľov.
Bezpečnostní experti zatiaľ nevedia povedať, koľko zariadení malvér nakazil. V spolupráci s Google a Passive DNS však experti usudzujú, že počet nakazených zariadení sa môže pohybovať v tisícoch a nezačali sa šíriť globálne.
Analytikom sa podarilo získať prístup k jednej z infikovaných aplikácií. Tvrdia, že jej funkcie naznačujú, že útočník alebo útočníci sú profesionáli. O to viac môže byť reálne, že aj neočakávaný koniec kampane je len ďalším krokom väčšieho plánu.
Komentáre