Wpeeper-malware infecteert Android-apparaten zonder detectie
Cybersecurity-onderzoekers hebben een nieuw type malware ontdekt dat Android-apparaten infecteert. Momenteel wordt de malware nog niet opgespoord door antivirusprogramma’s, waardoor de cybercriminelen vrij spel hebben.
De ontdekking werd gedaan door onderzoekers van XLab, een onderdeel van Tencent. Het kwaadaardige softwarepakket komt voor op twee verschillende domeinen. Eén daarvan doet al alarmbellen afgaan bij antivirusleveranciers, maar voor het andere domein is dat nog niet het geval. Dit trok de aandacht van de onderzoekers, die besloten om de malware uit te pluizen.
Niet-officiële appwinkel
Dat onderzoek wijst uit dat de malware afkomstig is uit een niet-officiële appwinkel. Meerbepaald gaat het om de ‘Uptodown Store’, een alternatief voor de Google Play Store. Cybercriminelen zouden de appbestanden een beetje extra code meegegeven hebben, waardoor het malwarepakket automatisch gedownload en uitgevoerd wordt. Normaal gezien valt dat vrij makkelijk op te sporen, maar omdat er vrij weinig code werd toegevoegd, blijkt die aanpak niet goed te werken.
Vast staat in ieder geval dat de Uptodown-appwinkel gebruikers over de hele wereld heeft. Wellicht is dat één van de redenen dat de aanvallers zich op die appwinkel toespitsen.
Omzeilt detectie
Op basis van wat de onderzoekers kunnen zien, blijkt het om een sterk stuk malware te gaan. Het gaat om een soort Trojan voor Android-apparaten die in staat is om informatie op het apparaat te verzamelen en door te sturen. De aanpak die daarvoor gehanteerd wordt, toont aan dat de hackers niet aan hun proefstuk toe zijn. Om data naar hun eigen servers te versluizen, maken de criminelen gebruik van gecompromitteerde WordPress-sites. Die dienen als relayservers, waardoor niet duidelijk is waar de data daarna naartoe vloeit. De hackers gebruiken een netwerk van 45 relayservers, wat het alleen maar moeilijker maakt om de uiteindelijke bestemming te achterhalen.
De onderzoekers van XLab merkten bovendien nog iets opmerkelijks op: tijdens het onderzoek werd de malware plots stopgezet. Cybercriminelen kunnen dat doen wanneer ze doorhebben dat er iemand meekijkt, maar hier lijkt iets anders aan de hand te zijn. De onderzoekers van XLab denken dat de Wpeeper-malware zich opzettelijk stil houdt.
Wanneer malware communiceert met een server, is er altijd het risico dat die ontdekt wordt. Dat risico lijken de hackers achter Wpeeper te willen minimaliseren. Op die manier kan de malware eerst verder verspreid worden via de Uptodown-appwinkel. Eenmaal de malware op meer apparaten geïnstalleerd staat, zou hij weer gaan werken. Bovendien zouden de criminelen zo de AI-gestuurde onderdelen van antivirusprogramma’s om de tuin willen leiden. Zonder uitgaand verkeer denken die programma’s niet dat er iets mis is, waardoor ze de Wpeeper-malware goedkeuring geven.
