简介 2024年4月18日，XLab的未知威胁狩猎系统发现一个VT 0检测的ELF文件正通过2个不同的域名传播，其中一个域名已被3家安全产商标注为恶意，另一个域名为近期注册且无任何检测，这个异常点引起了我们的注意。经过分析，我们确认此ELF是一个针对Android系统的恶意软件，基于它使用被黑的WORD PRESS站点做为中转C2，我们将其命名为Wpeeper。 Wpeeper是一个针对Android系统的典型后门木马，支持收集设备敏感信息，文件&目录管理，上传&下载，执行命令等诸多功能。Wpeeper最大的亮点在于网络层面，以下3点体现了其作者的用心程度： 1. 依托被黑的WORD PRESS站点构建多层级的C2架构，隐藏真正的C2 2. 使用Session字段区分请求，HTTPS协议保护网络流量 3. C2下发的指令使用AES加密并带有椭圆曲线签名，防止被接管 Wpeeper来源于“二次打包”的UPtodown Store应用，攻击者向正常的APK中植入了一小段代码用于下载执行恶意的ELF。由于新增的代码量很少，被修改的APK目前在VT上也是0检测。UPtod