Hackeri vytvorili „neviditeľný“ malvér, potom ho bez slova vypli. Útočníci aktuálne vyčkávajú, máme sa pripraviť na „búrku“, hovoria experti
Malvér s názvom Wpeeper úspešne infikoval zariadenia po celom svete, no potom prestal fungovať, pričom nikto nevie prečo.
Približne v polovici apríla bezpečnostní experti z XLab zaznamenali ELF súbor, ktorý mal na platforme VirusTotal nula odhalení škodlivosti. Tento súbor sa distribuoval cez dve odlišné domény, pričom jednu tri kyberbezpečnostné spoločnosti označili ako škodlivú. Druhá doména sa objavila relatívne nedávno a prirodzene zaujala pozornosť analytikov.
Po hlbšom výskume bezpečnostní experti usúdili, že ELF súbor bol v skutočnosti malvérom, ktorý cieli na Android systémy. Tento malvér zneužíva napadnuté WordPress stránky ako relé (pozn. spínač) pre C2 servery. Bezpečnostní experti nový malvér označili ako Wpeeper.
Experti vysvetľujú, že ide o typický trójsky kôň so zadnými vrátkami pre Android OS. Podporuje teda funkcie, ako napríklad zbieranie citlivých informácií, spravovanie súborov a nahrávanie alebo sťahovanie ďalšieho škodlivého softvéru do zariadenia. Prekvapilo ich ale to, ako malvér operuje na sieti. To odzrkadľuje obrovskú snahu hackerov.
Pôvodne sa malvér objavil v obchode s aplikáciami UPtodown Store. Tam sa šíril cez aplikácie, ktoré mali pridaný malý škodlivý kód. Keďže ide o minimálny zásah do aplikácie, tieto aplikácie sa tiež neobjavili na platforme VirusTotal ako škodlivé.
Uptodown Store sa podobá na oficiálne obchody s aplikáciami, pričom viac nesie podobnosť s Obchodom Play. Hoci má tento obchod globálnu užívateľskú základňu, nemá až takú dobrú viditeľnosť. Bezpečnostní experti sa domnievajú, že útočníci nemali iné možnosti.
Neprehliadnite
Prekvapením ale bolo náhle zastavenie aktivity tohto malvéru. Podľa slov bezpečnostných analytikov zo dňa na deň prestali fungovať C2 servery a downloadery malvéru prestali škodlivé súbory sťahovať. Analytici sa na toto pozreli lepšie a nedokázali nájsť dôvod, prečo by Wpeeper prestal tak náhle fungovať.
“Keďže sme nenašli žiaden zjavný technický problém, to nás doviedlo k podozreniu, že náhle ukončenie aktivity môže byť predzvesťou väčšieho plánu,” tvrdia bezpečnostní analytici.
Šokujúci koniec kampane
Počas analýzy sledovaný malvér dostal posledný príkaz, ktorým bolo vymazať sa. Bezpečnostní experti spočiatku predpokladali, že útočníci prišli na ich snahu sledovať, odkiaľ príkazy prišli. Neskôr však pozorovali aj to, že downloader prestal sťahovať ďalší škodlivý kód. Vyzeralo to skôr tak, akoby celá kampaň bez varovania skončila.
“Prečo by to tvorcovia robili? Mohlo sa stať, že sa jednoducho vzdali, no stále existuje iná možnosť,” vysvetľujú analytici.
Ako sme už spomenuli, infikované aplikácie sa dokázali vyhnúť odhaleniu, no kým existuje aktivita na sieti, stále existuje šanca na odhalenie podvodnej aplikácie. Hackeri sa mohli rozhodnúť vypnúť sieťovú komunikáciu, aby zabezpečili, že nimi infikované aplikácie aj naďalej ostanú v očiach antivírového softvéru “nevinné”.
Čo to ale znamená? Užívatelia môžu nevedomky sťahovať infikované aplikácie, ktoré ale nebudú robiť v ich Android zariadeniach nič škodlivé. Útočníci si počkajú na to, kým čísla stiahnutí porastú a až potom odhalia, čo ich malvér Wpeeper dokáže.
Komentáre