El nuevo malware para Android Wpeeper se esconde tras sitios WordPress hackeados

Un nuevo malware de puerta trasera para Android, apodado «Wpeeper», ha sido detectado en al menos dos tiendas de aplicaciones no oficiales que imitan la Uptodown App Store, una popular tienda de aplicaciones de terceros para dispositivos Android con más de 220 millones de descargas.

Wpeeper destaca por su uso sin precedentes de sitios WordPress comprometidos como repetidores de sus servidores reales de mando y control (C2), lo que proporciona un mecanismo de evasión.

El malware para Android fue descubierto el 18 de abril de 2024 por el equipo XLab de QAX mientras examinaba un archivo ELF desconocido hasta entonces incrustado en APK (archivos de paquete de Android), que no había sido detectado por Virus Total.

Los analistas informan de que la actividad cesó abruptamente el 22 de abril, probablemente como parte de una decisión estratégica para mantener un perfil bajo y escapar a la detección por parte de los profesionales de la seguridad y los sistemas automatizados.

Basándose en datos de Google y DNS pasivos, XLab ha deducido que Wpeeper ya había infectado miles de dispositivos en el momento en que fue descubierto, pero la verdadera escala de las operaciones sigue siendo desconocida.

Uso de WordPress como C2

El nuevo sistema de comunicación C2 de Wpeeper está estructurado para explotar sitios WordPress comprometidos y puntos de retransmisión intermedios, enmascarando la ubicación e identidad de sus servidores C2 reales.

Todos los comandos enviados por el C2 a los bots se transmiten a través de estos sitios, y además se cifran con AES y se firman con una curva elíptica para evitar que sean asumidos por terceros no autorizados.

Wpeeper puede actualizar dinámicamente sus servidores C2 al recibir un comando relacionado. Así, si se limpia un sitio de WordPress, se pueden enviar a la red de bots nuevos puntos de retransmisión en sitios diferentes.

El uso de múltiples sitios comprometidos en diferentes hosts y ubicaciones añade resistencia al mecanismo C2, dificultando el cierre o incluso la interrupción del intercambio de datos en un único dispositivo Android infectado.

Capacidades del malware

La principal funcionalidad de Wpeeper es robar datos, lo que se ve facilitado por su amplio conjunto de comandos que comprende 13 funciones distintas.

Los comandos soportados por el malware son los siguientes:

  1. Recuperar información detallada sobre el dispositivo infectado, como especificaciones de hardware y detalles del sistema operativo.
  2. obtener una lista de todas las aplicaciones instaladas en el dispositivo
  3. recibir nuevas direcciones del servidor C2 para actualizar la lista de fuentes de control del robot
  4. ajustar la frecuencia de comunicación con el servidor C2
  5. recibir una nueva clave pública para verificar las firmas de los comandos
  6. descargar archivos arbitrarios del servidor C2
  7. recuperar información sobre archivos específicos almacenados en el dispositivo
  8. Recopilar información sobre directorios específicos en el dispositivo
  9. Ejecutar comandos en el intérprete de comandos del dispositivo
  10. Descargar un archivo y ejecutarlo
  11. Actualizar malware y ejecutar un archivo
  12. Eliminar malware del dispositivo
  13. Descargar un archivo de una URL especificada y ejecutarlo

Como se desconocen los operadores de Wpeeper y las motivaciones detrás de la campaña, no está claro cómo se están utilizando los datos robados, pero los riesgos potenciales incluyen el secuestro de cuentas, la infiltración en la red, la recopilación de inteligencia, el robo de identidad y el fraude financiero.

Para evitar riesgos como el de Wpeeper, se recomienda instalar únicamente aplicaciones de la tienda oficial de aplicaciones de Android, Google Play, y asegurarse de que la herramienta antimalware integrada en el sistema operativo, Play Protect, está activa en el dispositivo.