奇安信XLab团队揭示了名为Wpeeper的Android恶意软件，该恶意软件通过被黑的WordPress站点作为C2服务器传播，具备收集设备信息、文件管理、执行命令等功能。Wpeeper采用了多层级C2架构、Session字段区分请求、HTTPS加密、AES加密指令等技术，以隐藏其恶意行为，并伪装成来自Uptodown Store的应用。尽管Wpeeper的活动在4月22日突然停止，但XLab团队认为这可能是攻击者为扩大影响而采取的策略，为后续更大规模的攻击做准备。

📱 Wpeeper是一款针对Android系统的后门木马，具备收集设备敏感信息、文件管理、上传下载、执行命令等功能，属于典型的恶意软件。

🌐 Wpeeper利用被黑的WordPress站点构建多层级C2架构，隐藏真实的C2服务器，并使用Session字段区分请求，HTTPS协议保护网络流量，提高了隐蔽性。

🛡️ 为了躲避检测，Wpeeper的C2下发的指令使用AES加密并带有椭圆曲线签名，同时，Wpeeper伪装成来自Uptodown Store的应用，该应用通过二次打包的方式植入恶意代码，从而躲避了杀毒软件的检测。

原创 奇安信X实验室 2024-04-29 10:32 云南

2024年4月18日，XLab的未知威胁狩猎系统发现一个VT 0检测的ELF文件正通过2个不同的域名传播，其中

2024年4月18日，XLab的未知威胁狩猎系统发现一个VT 0检测的ELF文件正通过2个不同的域名传播，其中一个域名已被3家安全产商标注为恶意，另一个域名为近期注册且无任何检测，这个异常点引起了我们的注意。经过分析，我们确认此ELF是一个针对Android系统的恶意软件，基于它使用被黑的WORD PRESS站点做为中转C2，我们将其命名为Wpeeper。

Wpeeper是一个针对Android系统的典型后门木马，支持收集设备敏感信息，文件&目录管理，上传&下载，执行命令等诸多功能。Wpeeper最大的亮点在于网络层面，以下3点体现了其作者的用心程度：

依托被黑的WORD PRESS站点构建多层级的C2架构，隐藏真正的C2

使用Session字段区分请求，HTTPS协议保护网络流量

C2下发的指令使用AES加密并带有椭圆曲线签名，防止被接管

Wpeeper来源于“二次打包”的UPtodown Store应用，攻击者向正常的APK中植入了一小段代码用于下载执行恶意的ELF。由于新增的代码量很少，被修改的APK目前在VT上也是0检测。UPtodown 是一个类似Google Play的第3方应用商店，在全球有许多用户，我们认为这是攻击者选择Uptodown的原因之一。由于视野有限，我们尚不得知攻击者是否有其它的选择。

 4月22日，Wpeeper突然停止活动，其C2服务器和下载器均不再提供服务。目前相关的样本仍未被安全厂商检测，可以说它已成功地欺骗了所有安全厂商，没有理由在这个节点选择"退场"，因此我们认为其背后可能有更大的图谋。

关于Wpeeper的此次活动，我们有较为完整的视野。

4月17日Wpeeper首次被上传到VT

4月18日系统告警，开始分析

4月19日开始指令跟踪，收到36个新的C2

4月22日8点31分收到最后一条的指令

最后一条指令，功能号为12，它的作用是删除自身。一开始我们以为是指令跟踪暴露了，但在切换过跟踪IP之后依然没有效果；随后Downloader也不再提供样本下载，整个Campaign似乎突然被按下了停止键。

 Wpeeper的作者为什么要这样做呢？也许他是放弃了，但我们认为还存在这样的可能性：二次打包的APK是Wpeeper后门的下载器，它们都已成功躲避了杀软的检测，但所谓草蛇灰线，只要存在网络活动，那就有可能被发现。当下不如先主动停止网络服务，让APK继续保持杀软眼中的良民身份，先提高APK的安装量，等规模上去之后，就是Wpeeper露出獠牙之时。

关于本文的详细分析，请点击下方的阅读全文

阅读原文

跳转微信打开