كشف باحثون في إكس لاب XLab عن برنامج ضار يستهدف أنظمة أندرويد، ويستخدم مواقع ووردبرس WordPress المخترقة كخوادم ترحيل C2، لتكون بمثابة آلية للتهرب.، أطلق عليه اسم Wpeeper، والذي حقق أكثر من 220 مليون عملية تنزيل على أجهزة أندرويد.
نشأ Wpeeper من التطبيقات المعاد تجميعها في متجر UPtodown، حيث قام المهاجمون بتضمين مقتطف تعليمات برمجية صغير في ملفات APK العادية لتنزيل ELF الضار وتنفيذه. نظرًا للحد الأدنى من التعليمات البرمجية المضافة، لا تظهر ملفات APK المعدلة حاليًا أي اكتشافات على فايروس توتال VirusTotal.
البرنامج Wpeeper هو حصان طروادة مستتر نموذجي لأنظمة أندرويد، ويدعم وظائف مثل جمع معلومات الجهاز الحساسة، وإدارة الملفات والأدلة، والتحميل والتنزيل، وتنفيذ الأوامر.
في 22 أبريل، توقف Wpeeper عن النشاط فجأة؛ توقفت خوادم C2 وبرامج التنزيل عن تقديم الخدمات. وفي الوقت الحالي، تظل العينات ذات الصلة غير مكتشفة من قبل شركات الأمن، مما يخدعهم جميعًا بشكل فعال. ويبدو أنه لا يوجد سبب لهذا التوقف المفاجئ في هذه المرحلة، مما يدفعنا إلى الشك في احتمال وجود مخطط أكبر.
يعكس التشفير والتحقق من التوقيع وإعادة توجيه C2 والآليات الأخرى التي تستخدمها Wpeeper الكفاءة المهنية للمبدعين. حتى "صمتها" الغامض الحالي من المحتمل أن يكون جزءًا من إستراتيجية الهجوم الخاصة بهم، بهدف إدخال مجموعة نماذج تعلم الذكاء الاصطناعي لبرامج مكافحة الفيروسات ككيان موثوق به. بمجرد أن يتعلم الذكاء الاصطناعي خصائص Wpeeper كسلوك عادي، يمكن أن تظل هذه التهديدات مخفية لفترة أطول.