安卓惡意程式Wpeeper利用已遭入侵的WordPress網站接收攻擊命令

中國資安業者奇安信揭露惡意軟體Wpeeper的攻擊行動，此為鎖定安卓作業系統的後門程式，攻擊者可藉此收集受害裝置的系統資訊，並且進行檔案管理、上傳、下載，甚至可執行特定命令。

但這款惡意軟體引起研究人員關注的地方在於，攻擊者在網路基礎設施上的規畫相當特別。首先，對方透過遭到入侵的WordPress網站，建立透過多個層次進行通訊的C2架構，企圖遮掩真正的C2伺服器位置。

再者，他們利用連線階段（Session）的欄位來區分請求，並透過HTTPS加密通訊協定來保護攻擊流量。而對於C2發出的命令，攻擊者也透過AES演算法處理。

研究人員起初是發現1個Linux執行檔（ELF），攻擊者透過2個網域散布，但僅有其中1個有資安業者標為惡意網域，另一個則為近期註冊而被視為無害；再者，惡意程式分析平臺VirusTotal上所有的防毒引擎，皆將此ELF檔案視為無害。雖然從副檔名的部分，看起來是針對Linux電腦而來，但研究人員進一步分析，確認這是安卓惡意程式。

此惡意程式的來源，攻擊者疑似透過Uptodown App Store第三方市集下載應用程式的APK檔案，然後進行變造並嵌入一小段程式碼，一旦使用者執行安裝，就會下載惡意的ELF檔案並執行。

值得留意的是，雖然這起攻擊行動維持不到一週，但當中使用的惡意程式都並未被資安公司判定為有害，照理來說，攻擊者沒有必要突然停止行動，因此研究人員推測，對方很可能在策畫更大規模的攻擊行動，目的是用於欺騙防毒軟體所使用的AI機器學習模型，讓他們的惡意程式更難被發現。