2024年4月18日,XLab的未知威胁狩猎系统发现一个VT 0检测的ELF文件正通过2个不同的域名传播,其中一个域名已被3家安全产商标注为恶意,另一个域名为近期注册且无任何检测,这个异常点引起了我们的注意。经过分析,我们确认此ELF是一个针对Android系统的恶意软件,基于它使用被黑的WORD PRESS站点做为中转C2,我们将其命名为Wpeeper。
Wpeeper是一个针对Android系统的典型后门木马,支持收集设备敏感信息,文件&目录管理,上传&下载,执行命令等诸多功能。Wpeeper最大的亮点在于网络层面,以下3点体现了其作者的用心程度:
依托被黑的WORD PRESS站点构建多层级的C2架构,隐藏真正的C2
使用Session字段区分请求,HTTPS协议保护网络流量
C2下发的指令使用AES加密并带有椭圆曲线签名,防止被接管
Wpeeper来源于“二次打包”的UPtodown Store应用,攻击者向正常的APK中植入了一小段代码用于下载执行恶意的ELF。由于新增的代码量很少,被修改的APK目前在VT上也是0检测。UPtodown 是一个类似Google Play的第3方应用商店,在全球有许多用户,我们认为这是攻击者选择Uptodown的原因之一。由于视野有限,我们尚不得知攻击者是否有其它的选择。
4月22日,Wpeeper突然停止活动,其C2服务器和下载器均不再提供服务。目前相关的样本仍未被安全厂商检测,可以说它已成功地欺骗了所有安全厂商,没有理由在这个节点选择"退场",因此我们认为其背后可能有更大的图谋。
关于Wpeeper的此次活动,我们有较为完整的视野。
4月17日Wpeeper首次被上传到VT
4月18日系统告警,开始分析
4月19日开始指令跟踪,收到36个新的C2
4月22日8点31分收到最后一条的指令
最后一条指令,功能号为12,它的作用是删除自身。一开始我们以为是指令跟踪暴露了,但在切换过跟踪IP之后依然没有效果;随后Downloader也不再提供样本下载,整个Campaign似乎突然被按下了停止键。
Wpeeper的作者为什么要这样做呢?也许他是放弃了,但我们认为还存在这样的可能性:二次打包的APK是Wpeeper后门的下载器,它们都已成功躲避了杀软的检测,但所谓草蛇灰线,只要存在网络活动,那就有可能被发现。当下不如先主动停止网络服务,让APK继续保持杀软眼中的良民身份,先提高APK的安装量,等规模上去之后,就是Wpeeper露出獠牙之时。
关于本文的详细分析,请点击下方的阅读全文