TAUSENDE GERäTE SIND INFIZIERT: EXPERTEN WARNEN VOR NEUER ANDROID-MALWARE

Eine gefährliche Android-Malware wurde schon auf tausenden Geräten installiert. Alle Informationen zur der neuen Bedrohung, bekommen Sie hier.

Sicherheitsexperten des QAX XLab-Teams haben eine neue Android-Malware namens "Wpeeper" identifiziert, die bei mindestens zwei inoffiziellen App-Stores entdeckt wurde und dabei das Erscheinungsbild des beliebten Uptodown App Stores nachahmt. Bemerkenswert an "Wpeeper" ist der kreative Einsatz von kompromittierten WordPress-Websites, die als Relaisstationen für die eigentlichen Command-and-Control-Server fungieren und somit der Malware helfen, unentdeckt zu bleiben. (via: "Bleeping Computer")

Am 18. April 2024 stießen die Analysten während der Untersuchung einer unbekannten ELF-Datei, auf die Malware. Sie war in APKs (Android Package Files) eingebettet und bei erzielte bei Virus Total noch keine Treffer. Innerhalb kürzester Zeit nach der Entdeckung, nämlich genau am 22. April, stellte "Wpeeper" seine Aktivitäten ein. Das deutet darauf hin, dass die Hintermänner eine geringere Sichtbarkeit anstreben, um sich der Entdeckung durch Sicherheitsexperten und automatisierte Systeme zu entziehen.

Google und Passive DNS-Daten zufolge hatte die Malware "Wpeeper" bereits Tausende von Geräten infiziert, als sie entdeckt wurde. Das wahre Ausmaß der Operation bleibt allerdings bisher unbekannt.

Android-Malware "Wpeeper": Abschalten der Operation oder Störung des Datenaustausches ist nur schwer möglich

Das C2-Kommunikationssystem von "Wpeeper" ist so konzipiert, dass es kompromittierte WordPress-Sites als Zwischenrelais nutzt, wodurch der Standort und die Identität seiner tatsächlichen C2-Server verschleiert werden. Alle Befehle, die von den C2-Servern an die Bots gesendet werden, laufen über diese Websites und sind zusätzlich AES-verschlüsselt und durch eine Elliptic Curve Signatur signiert, um eine Übernahme durch Unbefugte zu verhindern.

"Wpeeper" kann seine C2-Server dynamisch aktualisieren, indem es einen entsprechenden Befehl empfängt. Falls eine WordPress-Site bereinigt wird, können neue Relaispunkte auf verschiedenen Websites an das Botnetz ausgegeben werden. Durch den Einsatz mehrerer kompromittierter Sites über verschiedene Hosts und Standorte hinweg wird die C2-Infrastruktur widerstandsfähiger und erschwert das Abschalten der Operation oder die Störung des Datenaustausches auf einem einzelnen infizierten Android-Gerät.

Das könnte Sie auch interessieren:

• Neue Betrugsmasche aufgetaucht: Amazon-Kunden müssen jetzt aufpassen
• Neuer Pay-TV-Anbieter kommt nach Deutschland: Das erwartet die Kunden

Dieser Artikel kann Partnerlinks enthalten, von denen Microsoft und/oder der Herausgeber möglicherweise eine Provision erhält, wenn Sie über diese Links ein Produkt oder eine Dienstleistung erwerben.

2024-05-05T12:56:38Z dg43tfdfdgfd