Backdoor

A collection of 2 posts
假死疑云:Wpeeper木马所图为何?
Backdoor

假死疑云:Wpeeper木马所图为何?

简介 2024年4月18日,XLab的未知威胁狩猎系统发现一个VT 0检测的ELF文件正通过2个不同的域名传播,其中一个域名已被3家安全产商标注为恶意,另一个域名为近期注册且无任何检测,这个异常点引起了我们的注意。经过分析,我们确认此ELF是一个针对Android系统的恶意软件,基于它使用被黑的WORD PRESS站点做为中转C2,我们将其命名为Wpeeper。 Wpeeper是一个针对Android系统的典型后门木马,支持收集设备敏感信息,文件&目录管理,上传&下载,执行命令等诸多功能。Wpeeper最大的亮点在于网络层面,以下3点体现了其作者的用心程度: 1. 依托被黑的WORD PRESS站点构建多层级的C2架构,隐藏真正的C2 2. 使用Session字段区分请求,HTTPS协议保护网络流量 3. C2下发的指令使用AES加密并带有椭圆曲线签名,防止被接管 Wpeeper来源于“二次打包”的UPtodown Store应用,攻击者向正常的APK中植入了一小段代码用于下载执行恶意的ELF。由于新增的代码量很少,被修改的APK目前在VT上也是0检测。UPtod
15 min read