Malware Wpeeper lewat Wordpress menghindari lebih mudah


   Security | 10 May 2024

Bila anda sering mencari / download program Android, download di situs resmi PlayStore.

Kadang kita mencari program dalam bentuk APK, yang mungkin sudah tidak ada di PlayStore.
Mungkin si pengembang memilih memberi layanan sendiri di website mereka, atau hal lain seperti tidak memenuhi aturan di PlayStore.

Beberapa program sering kita temukan juga di Third Party Store. Situs yang mengumpulkan APK file untuk di download manual.
Beberapa situs terpecaya mengunakan keamanan sendiri, memeriksa sebelum file APK masuk daftar.

Tapi hati hati malware Wpeeper muncul di situs yang kelihatan resmi untuk download.

Malware backdoor Android baru bernama 'Wpeeper' telah terlihat di setidaknya dua website aplikasi tidak resmi yang meniru Uptodown App Store, toko aplikasi pihak ketiga ini lumayan populer untuk perangkat Android dengan lebih dari 220 juta unduhan.
Nyatanya disana menjadi sumber penyebaran malware.

Bagi mereka yang berhati hati, akan melakukan scan terlebih dahulu, setelah mendownload APK file dari layanan tidak resmi.
Kali ini malware Wpeeper lolos dari pemeriksaan Virustotal.
Masalah tidak semua orang tahu, seperti keterangan diatas, sudah di download 200 juta kali lebih.

- April 17 2024 : Wpeeper was first uploaded to VirusTotal.
- April 18 2024 : The system alerted us, and we began analysis.
- April 19 2024 : We started tracking commands and received 36 new C2 servers.
- April 22 at 8:31 AM: We received the last command.



Malware Wpeeper

Bila tidak salah, malware ditemukan di 2 situs  aapks.com dan Android-apk.org

Malware Wpeeper menonjol karena mengunakan layanan WordPress sebagai relay sebagai server perintah dan kontrol (C2) sebenarnya, bertindak sebagai mekanisme penghindaran agar tidak terditeksi.

Malware Android ini ditemukan pada tanggal 18 April 2024, oleh tim XLab QAX saat memeriksa file ELF sebelumnya tidak dikenal dan tertanam dalam APK (file paket Android), bahkan tidak terdeteksi sama sekali oleh Virus Total.
Kedep

an bisa saja teknik yang sama menginfeksi file APK.

Tiba tiba aktivitas berhenti tiba-tiba pada tanggal 22 April 2024
Mungkin si pembuat mengambil keputusan strategis untuk tetap bersikap low profile dan menghindari terditeksi oleh keamanan profesional dan sistem otomatis untuk menditeksi keberadaan malware.

Berdasarkan data Google dan DNS Pasif, XLab menyimpulkan Wpeeper telah menginfeksi ribuan perangkat saat ditemukan, namun skala operasi sebenarnya masih belum diketahui.

Sistem komunikasi C2 baru Wpeeper disusun untuk memanfaatkan situs WordPress yang disusupi dan titik relai perantara, mengaburkan lokasi dan identitas keberadaan server C2 sebenarnya.

Setiap perintah yang dikirim dari C2 ke bot diteruskan melalui situs tersebut, dan perintah dienkripsi AES dan ditandatangani dengan tanda tangan kurva elips untuk mencegah pengambilalihan dari  pihak ketiga yang tidak berwenang.



Wpeeper dapat memperbarui server C2-nya secara dinamis dengan penerimaan perintah terkait.
Apa dampaknya, ketika situs WordPress dibersihkan, titik relai baru di situs berbeda dapat dikirim ke botnet.
Jadi si pembuat lebih mudah mengendalikan perangkat Android yang sudah terinfeksi.

Menggunakan beberapa situs yang disusupi di berbagai host dan lokasi, membuat rancangan Wpeeper menambah ketahanan mekanisme C2.
Bila serangan dilakukan oleh si pembuat, semakin sulit layanan keamanan dapat menghentikan, bahkan untuk memblokir pertukaran dari mesin yang sudah terinfeksi.

Fungsi utama Wpeeper sementara masih dalam pencurian data, difasilitasi serangkaian perintah ekstensif yang menampilkan 13 fungsi berbeda.

Perintah yang ada di malware backdoor ini adalah:
Mengambil informasi detail tentang perangkat yang terinfeksi, seperti spesifikasi perangkat keras dan detail sistem operasi
Kumpulkan daftar semua aplikasi yang terinstal di perangkat
Menerima IP server C2 baru untuk memperbarui daftar sumber perintah bot
Mengatur frekuensi komunikasi dengan server C2 sebagai pengendali
Menerima kunci publik baru untuk memverifikasi signature perintah
Mendownload file arbitrer dari server C2
Mengambil informasi file tertentu yang disimpan di perangkat
Mengumpulkan informasi tentang direktori tertentu di perangkat
Menjalankan perintah di shell perangkat
Download file dan mengeksekusi sendiri
Perbarui malware dan mengeksekusi file
Juga menghapus malware dari perangkat agar tidak terditeksi lagi.
Download file dari URL tertentu, juga mengeksekusi sendiri.

Karena operator Wpeeper dan motif kampanye tidak diketahui, tidak jelas bagaimana data yang dicuri tersebut digunakan.
Peneliti keamanan mengatakan risiko sementara mencakup pembajakan akun, infiltrasi jaringan, pengumpulan intelijen, pencurian identitas, dan penipuan finansial.

Untuk menghindari risiko seperti malware Wpeeper, disarankan penguna mendownload di Google Play, dan aktifkan fitur keamanan dari Android seperti proteksi.
Google Play Store dapat menditeksi bila seseorang menginstall program tidak resmi, dan program Android tersebut berbahaya, dan dapat di hapus / diperingatkan dari layanan Play Store Google




Artikel Lain

Cari program petani di Youtube, jangan jangan dapat Lumma Stealer. RedLine Stealer menyamar sebagai cheat game. Hati hati mencari link software CPU-Z, WinSCP, Advanced IP Scanner gratis. November 2023 penyebaran iklan kalangan IT. JaskaGO menyusup di program AnyConnect dan CapCut.

TP-Link Archer AX21 sasaran Botnet bila tidak di update. Patch diberikan tahun 2023, tapi tahun 2024 jaringan Botnet masih mencari perangkat tidak di update Firmware. Terbesar 60.000 perhari perangkat terditeksi Fornite security. Salah satu WIFI Router penjualan No.1 terbanyak di Amazon, menjadi sasaran Botnet.



Penguna perangkat Asus WIFI Router model lama ada baiknya memeriksa update Firmware, mengunakan password WIFI lebih baik. Malware TheMoon dapat mencari keretenanan Router, menjadi Bot, membuat sebagai Proxy server untuk bisnis mereka.

Penipuan kripto ChatGPT banjir di Youtube pada bulan Maret 2024. Beberapa modus, disebut Slippage Bot, mengunakan ChatGPT. Menjanjikan membantu memperoleh penghasilan pasif dengan kripto. Tapi itu penipuan.

Link yang disebar dengan Chrome Update Android. Sebaiknya tidak di click, walau tampilan sangat mirip dengan update biasa. Penguna ponsel Android tertipu aplikasi palsu update Chrome, meminta ijin SMS Permission. Yang di download adalah Malware MoqHao, mencuri data pribadi.

VidMate adalah aplikasi Android untuk download video offline. Lebih dari setengah miliar penguna VidMate aplikasi di Andorid. Tanpa disadari menghabiskan kuota internet, sampai mengeringkan baterai. Iklan muncul, dan diam diam sudah di layanan berbayar. Kapan aplikasi mencurigakan tersebut aktif, sampai di tendang Play Store



Youtube Obengplus

Trend