Summary On April 18, 2024, XLab's threat hunting system detected an ELF file with zero detections on VirusTotal being distributed through two different domains. One of the domains was marked as malicious by three security firms, while the other was recently registered and had no detections, drawing our attention. Upon

简介 2024年4月18日，XLab的未知威胁狩猎系统发现一个VT 0检测的ELF文件正通过2个不同的域名传播，其中一个域名已被3家安全产商标注为恶意，另一个域名为近期注册且无任何检测，这个异常点引起了我们的注意。经过分析，我们确认此ELF是一个针对Android系统的恶意软件，基于它使用被黑的WORD PRESS站点做为中转C2，我们将其命名为Wpeeper。 Wpeeper是一个针对Android系统的典型后门木马，支持收集设备敏感信息，文件&目录管理，上传&下载，执行命令等诸多功能。Wpeeper最大的亮点在于网络层面，以下3点体现了其作者的用心程度： 1. 依托被黑的WORD PRESS站点构建多层级的C2架构，隐藏真正的C2 2. 使用Session字段区分请求，HTTPS协议保护网络流量 3. C2下发的指令使用AES加密并带有椭圆曲线签名，防止被接管 Wpeeper来源于“二次打包”的UPtodown Store应用，攻击者向正常的APK中植入了一小段代码用于下载执行恶意的ELF。由于新增的代码量很少，被修改的APK目前在VT上也是0检测。UPtod