Wpeeper se hace pasar por Uptodown para infectar dispositivos Android

El backdoor utiliza sitios vulnerados de WordPress como C2 y se distribuye en markets no oficiales suplantando a la aplicación móvil de la empresa malagueña

Wpeeper es el nombre que se ha dado a este malware con capacidad para recolectar información sensible de los dispositivos infectados, manejar ficheros, directorios y ejecutar comandos descargados tanto del servidor de control como de cualquier otro sitio web.

Su distribución se realiza a través de una APK de Apptodown modificada y vuelta a empaquetar. El código inyectado en la misma descarga y ejecuta un fichero ELF que es el que realiza la funcionalidad maliciosa.

Código inyectado en el APK

Función que termina realizando la descarga del fichero ELF

Apptodown

Para aquellos que no conozcan Apptodown, esta empresa malagueña es el mayor market de aplicaciones de Android alternativo al oficial. Fue fundada en el año 2002 por Luis Hernández y José Domínguez y en sus inicios estaba enfocada a las aplicaciones de escritorio.

Tras la irrupción de los smartphones pasaron a centrarse en la distribución de aplicaciones móviles, consiguiendo una facturación de 4,8 millones de euros en 2020.

Su amplia base de usuarios puede ser una de los atractivos por los que los creadores de Wpeeper han usado un versión modificada de su aplicación para distribuir esta nueva variante de malware.

Comunicación con el C2

El fichero ELF malicioso no utiliza técnicas de ofuscación. Tras su inicialización la primera función que realiza es rellenar un array con capacidad para 30 elementos con una lista de C2.

Esa información se obtiene de una serie de URLs codificadas en base 64 y hardcodeadas en el propio código fuente, descifrada del fichero store.lock con el algoritmo AES cuya clave está en los primeros 32 bytes del propio fichero o bien mediante una actualización remota del listado de C2s tras la comunicación inicial.

La actividad de red hacia el servidor de Comando y Control se realiza mediante peticiones POST con la información relevante codificada base 64 en la cabecera Session.

El C2 responde con un objeto JSON con dos campos, el segundo de los cuales “data” indica el comando a ejecutar y se encuentra también cifrado con una firma digital y clave AES que van en el propio campo.

El uso de sitios web vulnerados de WordPress como servidores de comando y control permite al atacante ocultar su verdadero origen, pero también presenta problemas de fiabilidad puesto que una actualización de dichas instalaciones puede provocar que la comunicación ya no sea posible.

Aunque no se tiene información sobre la extensión de esta campaña, mediante los registros pasivos de DNS y el recuento llevado a cabo en uno de los sitios de distribución se estima que la APK maliciosa ha tenido algunos miles de descargas.

A pesar de la falta de ofuscación las técnicas observadas en la implementación de este troyano parecen bastante avanzadas, por lo que habrá que estar al tanto de futuras campañas que busquen una distribución más masiva de esta nueva amenaza.

Indicadores de Compromiso

APK
e5af8e705e079d28f795cf490a66f74415699c9674833e2524eb746004d56a6b

Ficheros ELF
265f0cb83a59d5ab4fff8cb9619439c61f1b86680791485b1f83ef48a6c26741
32e92509bc4a5e3eb2146fe119c45f55

URL de descarga del APK
hxxps[://]aapks[.]com/apk/uptodown-com-uptodown/version/67444750/

URLs de descarga del fichero ELF
hxxps[://]appflyer[.]co/downloads/latest/device/android/
hxxps[://]dn[.]jnipatch[.]com/downloads/latest/device/android

C2 Hardcodeados
hxxps[://]tartarcusp[.]com/BZRAWE/
hxxps[://]www[.]chasinglydie[.]com/7V5QT0/
hxxps[://]www[.]civitize[.]com/0SA67H/
hxxps[://]wyattotero[.]com/AQVLLY/
hxxps[://]web[.]rtekno[.]com/5XPOS2/
hxxps[://]dermocuidado[.]com/8QSCZP/
hxxps[://]ocalacommercialconstruction[.]com/WXFHF6/
hxxps[://]scatsexo[.]com/NVZ4L0/
hxxps[://]snipsnack[.]com/T8Q2BN/

C2 Adicionales
hxxps[://]4devsolutions[.]com/4NUAK1/
hxxps[://]atba3li[.]com/Z99QQ6/
hxxps[://]avsecretarial[.]com/PYWDEL/
hxxps[://]barbeariadomarfim[.]com/BN2TTO/
hxxps[://]beanblisscafe[.]com/MX1OAS/
hxxps[://]carloadspry[.]com/SJI4C1/
hxxps[://]carshringaraligarh[.]com/TBHH4O/
hxxps[://]coexisthedge[.]com/ZF57OA/
hxxps[://]dibplumber[.]com/LCN9UJ/
hxxps[://]dodgeagonize[.]com/KJSLOT/
hxxps[://]essentialelearning[.]com/EVSKOT/
hxxps[://]focusframephoto[.]com/1J10V9/
hxxps[://]fontshown[.]com/4D69BN/
hxxps[://]gadeonclub[.]com/Q9DVGH/
hxxps[://]hhfus[.]com/CUGCCO/
hxxps[://]kiwisnowman[.]com/DC4O03/
hxxps[://]masterlogisticsfzco[.]com/5CBSYC/
hxxps[://]mrscanology[.]com/8GVHT3/
hxxps[://]naroyaldiamonds[.]com/WZJ236/
hxxps[://]nt-riccotech[.]com/Q4LQKN/
hxxps[://]nutrivital-in[.]com/7DB9BC/
hxxps[://]petintrip[.]com/QPNQSM/
hxxps[://]qualitygoodsforconfectioners[.]com/3QLS47/
hxxps[://]rastellimeeting[.]com/9Q4GOM/
hxxps[://]schatzrestaurant[.]com/J2WMA6/
hxxps[://]socktopiashop[.]com/4WYZ7I/
hxxps[://]speedyrent-sa[.]com/AIOFB2/
hxxps[://]stilesmcgraw[.]com/1WN2BH/
hxxps[://]toubainfo[.]com/G1ACF0/
hxxps[://]trashspringield[.]com/GYNH3A/
hxxps[://]vaticanojoyas[.]com/R5Q7G4/
hxxps[://]wendyllc[.]com/QD8490/
hxxps[://]www[.]cureoscitystaging[.]com/YKUCU8/
hxxps[://]www[.]elcomparadorseguros[.]com/A5FDX7/
hxxps[://]www[.]francescocutrupi[.]com/WJYP89/
hxxps[://]www[.]yitaichi[.]com/K7ODU6/

Fuentes y más información:

• https://blog.xlab.qianxin.com/playing-possum-whats-the-wpeeper-backdoor-up-to/#elf-analysis
• https://www.bleepingcomputer.com/news/security/new-wpeeper-android-malware-hides-behind-hacked-wordpress-sites/
• https://www.securityweek.com/wpeeper-android-trojan-uses-compromised-wordpress-sites-to-shield-command-and-control-server/
• https://thehackernews.com/2024/05/android-malware-wpeeper-uses.html