Um novo malware para Android, batizado de Wpeeper, foi identificado infiltrando-se em dispositivos por meio de lojas de aplicativos não oficiais, disfarçando-se como parte da Uptodown App Store, uma conhecida plataforma de terceiros que já acumula mais de 220 milhões de downloads. Este backdoor distinto emprega uma técnica pouco convencional, utilizando sites WordPress hackeados para mascarar suas operações, funcionando como canais de retransmissão para seus servidores de comando e controle (C2).
Descoberto em 18 de abril de 2024 pela equipe de pesquisa XLab da QAX, o Wpeeper chamou a atenção durante a análise de um arquivo ELF antes desconhecido, integrado em arquivos APK (Android Package), sem detecções anteriores no Virus Total. A análise inicial revelou que, além de ser altamente sofisticado, o malware possuía a capacidade de se manter oculto, interrompendo suas atividades abruptamente em 22 de abril, provavelmente para evitar detecções futuras e manter a discrição.
Funcionamento e estratégia do Wpeeper
O método de operação do Wpeeper é especialmente astuto. Ele se comunica através de sites WordPress que foram comprometidos, agindo como intermediários para os servidores C2 reais. Isso não apenas oculta a localização e identidade dos operadores do malware, mas também complica os esforços para desmantelar a rede. Os comandos entre o C2 e os dispositivos infectados são criptografados com AES e protegidos por uma assinatura de curva elíptica, aumentando ainda mais a segurança contra interceptações.
Se um dos sites WordPress for corrigido e limpo, o Wpeeper tem a habilidade de receber novos pontos de retransmissão, permitindo que continue suas operações sem grandes interrupções, mostra o relatório da XLab. Esta resiliência torna-o particularmente difícil de erradicar e rastrear.
Capacidades do Malware
O Wpeeper não é apenas uma ferramenta de espionagem; ele é equipado com uma variedade de funções nocivas. Ele pode extrair informações detalhadas sobre os dispositivos infectados, incluindo especificações de hardware e detalhes do sistema operacional. Além disso, pode executar uma série de outras ações maliciosas, como:
- Coletar listas de aplicativos instalados;
- Baixar e executar arquivos arbitrários do servidor C2;
- Gerenciar arquivos e diretórios no dispositivo;
- Executar comandos no shell do dispositivo;
- Atualizar ou deletar o próprio malware.
As motivações por trás dessa campanha de malware e os usos específicos dos dados roubados ainda são incertos. No entanto, os riscos incluem sequestro de contas, infiltração de rede, roubo de identidade e fraude financeira.
Prevenção e recomendações
Para evitar ser vítima de malwares como o Wpeeper, os usuários devem adotar práticas seguras, como baixar aplicativos apenas de fontes oficiais, como a Google Play Store, e manter ativada a proteção do Play Protect, uma ferramenta antimalware integrada ao Android. Além disso, é crucial manter os dispositivos atualizados e ser cauteloso com os links e downloads de fontes desconhecidas.
