Un nuovo malware per Android chiamato “Wpeeper” è stato scoperto, notevole per la sua capacità di utilizzare siti WordPress compromessi come relè per i suoi veri server di comando e controllo (C2). Questo metodo serve come meccanismo di evasione per mascherare le sue vere attività.

Modalità di azione

Wpeeper è stato identificato per la prima volta il 18 aprile 2024 dal team XLab di QAX, durante l’analisi di un file ELF sconosciuto incorporato in file APK (Android package files), che al momento della scoperta non aveva rilevamenti su VirusTotal. L’attività del malware è cessata bruscamente il 22 aprile, presumibilmente come decisione strategica per mantenere un basso profilo ed evitare la rilevazione da parte di professionisti della sicurezza e sistemi automatizzati.

Struttura di comunicazione del C2

Wpeeper struttura la sua comunicazione C2 per sfruttare i siti WordPress compromessi come punti di relè intermedi, oscurando la posizione e l’identità dei suoi veri server C2. I comandi inviati dal C2 ai bot sono inoltrati tramite questi siti, e sono inoltre criptati AES e firmati con una firma a curva ellittica per impedire l’acquisizione da parte di terzi non autorizzati.

Capacità del malware

Le principali funzionalità di Wpeeper includono il furto di dati, facilitato da un ampio set di comandi con 13 funzioni distinte, come il recupero di informazioni dettagliate sull’apparecchio infetto, l’elenco delle applicazioni installate, l’aggiornamento degli indirizzi del server C2, e la capacità di scaricare ed eseguire file arbitrari.

Precauzioni raccomandate

Per evitare rischi come Wpeeper, si raccomanda di installare applicazioni solo dall’app store ufficiale di Android, Google Play, e di assicurarsi che lo strumento anti-malware integrato del sistema operativo, Play Protect, sia attivo sul dispositivo.

L’emergere di Wpeeper sottolinea l’importanza di misure di sicurezza robuste e la vigilanza continua, soprattutto considerando come gli attori di minacce continuano a trovare nuovi modi per sfruttare infrastrutture e tecnologie legittime per condurre attività maligne.

Google ha recentemente messo in evidenza due importanti aggiornamenti nel campo della sicurezza ed ha aumentato significativamente le ricompense per la scoperta di bug e, inoltre, ha lanciato nuove funzionalità nel suo strumento di analisi malware, Gemini 1.5 Pro, che sfrutta l’intelligenza artificiale per migliorare l’efficacia delle analisi.

Incremento delle Ricompense per Bug

Google ha deciso di aumentare fino a dieci volte le ricompense per la segnalazione di vulnerabilità di esecuzione remota di codice (RCE) all’interno di alcune app Android. Le ricompense ora variano da $30,000 a $300,000, con la possibilità di raggiungere i $450,000 per segnalazioni di qualità eccezionale.

Le app di livello 1, incluse Google Play Services, l’app Google Search per Android (AGSA), Google Cloud e Gmail, sono le principali beneficiarie di questo incremento. L’obiettivo è incentivare la scoperta e la segnalazione di bug critici che potrebbero portare al furto di dati sensibili.

Gemini 1.5 Pro per l’analisi di Malware

Parallelamente, Google ha introdotto Gemini 1.5 Pro, una versione avanzata del suo strumento per l’analisi di malware che migliora notevolmente le capacità di analisi grazie all’intelligenza artificiale. Gemini 1.5 Pro è in grado di processare prompt fino a 1 milione di token, permettendo un’analisi dettagliata di file di codice complessi che superano le capacità dei modelli linguistici di grande dimensione precedenti. Questo strumento non solo identifica il codice maligno, ma genera anche rapporti riassuntivi in linguaggio umano, offrendo un’analisi approfondita che include le funzionalità del malware, il comportamento e le potenziali vettore di attacco.

Implicazioni e prospettive future

L’incremento delle ricompense per bug riflette l’impegno di Google nel mantenere i suoi servizi sicuri per tutti gli utenti, cercando di attrarre più esperti di sicurezza a contribuire alla scoperta di vulnerabilità. D’altra parte, l’introduzione di Gemini 1.5 Pro dimostra come l’intelligenza artificiale possa essere sfruttata per migliorare le capacità di analisi del malware, rendendo il processo più efficace ed efficiente. Entrambe le iniziative indicano una direzione chiara verso un rafforzamento della sicurezza, essenziale in un’era dove le minacce informatiche sono in costante evoluzione.

Con questi sviluppi, Google non solo rafforza la propria posizione come leader nella sicurezza informatica, ma fornisce anche strumenti preziosi e incentivi che potrebbero avere un impatto significativo sulla sicurezza globale delle app e dei servizi online. L’aumento delle ricompense per la segnalazione di bug e le innovazioni in Gemini 1.5 Pro sono passi avanti strategici per anticipare e neutralizzare le minacce in un ambiente digitale sempre più complesso.

Google ha annunciato importanti successi nella lotta contro le applicazioni dannose su Google Play e, nel 2023, ha impedito la pubblicazione di 2,28 milioni di app che violavano le sue politiche, dimostrando un impegno significativo nel rafforzare la sicurezza del suo store di applicazioni.

Dettagli del Successo di Google

Durante l’anno, Google ha respinto quasi 200.000 proposte di app su Play Store o ha richiesto modifiche per risolvere problemi legati all’accesso a dati sensibili come la posizione o i messaggi SMS. Inoltre, ha bloccato 333.000 account “cattivi” che tentavano di distribuire malware o che commettevano violazioni ripetute delle politiche.

Miglioramenti alla Sicurezza

Steve Kafka, Khawaja Shams e Mohet Saxena di Google hanno evidenziato l’investimento dell’azienda in nuove funzionalità di sicurezza, aggiornamenti delle politiche e processi avanzati di revisione delle app basati su apprendimento automatico. Questo ha contribuito notevolamente a prevenire la pubblicazione di app che violano le politiche.

Partnership per la Privacy dei Dati

Google ha anche collaborato con i fornitori di SDK per limitare l’accesso e la condivisione dei dati sensibili, migliorando la postura di privacy per oltre 31 SDK che impattano più di 790.000 app.

Confronto con l’Anno Precedente

Nel 2022, Google aveva impedito la pubblicazione di 1,43 milioni di app dannose e bandito 173.000 account problematici, mostrando un aumento significativo nell’efficacia delle sue misure di sicurezza nel 2023.

Iniziative di sicurezza supplementari

La compagnia ha anche rafforzato i processi di onboarding e revisione per gli sviluppatori, richiedendo più informazioni identificative e un processo di verifica all’atto della configurazione dei loro account Play Console. Questo permette a Google di comprendere meglio la comunità degli sviluppatori e di eliminare gli attori malintenzionati che cercano di propagare app maligne.

Misure aggiuntive di Protezione

Google ha intrapreso una serie di passi per proteggere l’ecosistema Android, incluso il trasferimento dell’App Defense Alliance sotto l’ombrello della Linux Foundation e il lancio di una “badge di revisione di sicurezza indipendente” nel Play Store per le app VPN che hanno superato un audit di Mobile Application Security Assessment.

Gli sforzi di Google nel 2023 per combattere le app dannose hanno portato a risultati impressionanti, evidenziando il suo impegno continuo nella protezione degli utenti e nella promozione di un ambiente digitale più sicuro.