Malafide module aangetroffen in alternatieve appwinkel APKPure

De alternatieve appwinkel APKPure was geïnfecteerd met een kwaadaardige module die Trojaanse paarden downloadt op Android apparaten. Hiervoor waarschuwt onderzoekers van Kaspersky.

Kaspersky-experts hebben een schadelijke code gevonden in versie 3.17.18 voor de officiële versie van de APKPure-app store. De onderzoekers vonden de code in de advertentiebibliotheek van de applicatie. De code is daar waarschijnlijk verschenen vanwege de samenwerking van de app-ontwikkelaars met een gewetenloze adverteerder. Een soortgelijk geval heeft plaatsgevonden met het CamScanner-incident toen een nieuwe advertentie-SDK van een niet-geverifieerde bron werd geïmplementeerd.

Werkwijze

De geïdentificeerde code in APKPure werkt op de volgende manier: bij het starten van de applicatie wordt de payload gedecodeerd en gestart. Deze verzamelt vervolgens informatie over het gebruikersapparaat en stuurt dit naar de C&C-server. Vervolgens wordt een Trojaans paard geladen dat veel gemeen heeft met de beruchte Triada-malware, in die zin dat het een reeks acties kan uitvoeren - van het weergeven en klikken op advertenties tot het aanmelden voor betaalde abonnementen en het downloaden van andere malware.

Afhankelijk van de response, kan de malware daarna:

• Advertenties laten zien wanneer het apparaat is ontgrendeld
• Herhaaldelijk browserpagina's met advertenties openen
• Extra, uitvoerbare modules laden

“Afhankelijk van de OS-versie kan de Trojan verschillende vormen van schade toebrengen. APKPure-gebruikers met de huidige Android-versies lopen het meeste risico op betaalde abonnementen en opdringerige advertenties, die vanuit het niets verschijnen. Gebruikers van smartphones die geen beveiligingsupdates ontvangen, hebben minder geluk: in verouderde versies van het besturingssysteem kan de malware niet alleen extra apps laden, maar deze ook op de systeempartitie installeren. Dit kan ertoe leiden dat een niet-verwijderbare Trojan, zoals xHelper, op het apparaat terechtkomt. We zijn blij dat we de markt kunnen informeren over dit probleem en een oplossing kunnen melden. We dringen bij alle APKPure-gebruikers erop aan om het programma onmiddellijk bij te werken naar versie 3.17.19 ”, zegt Igor Golovin, beveiligingsexpert bij Kaspersky.

Kaspersky-oplossingen hebben het kwaadaardige implantaat gedetecteerd als HEUR: Trojan-Dropper.AndroidOS.Triada.ap. Kaspersky meldde het probleem op 8 april aan de markt. Het probleem is opgelost in versie 3.17.19, die al beschikbaar is om te downloaden.

Om veilig te blijven geeft Kaspersky APKPure-gebruikers het volgende advies:

• Update de applicatie onmiddellijk naar versie 3.17.19
• Scan het systeem op andere Trojaanse paarden met een betrouwbare beveiligingsoplossing, zoals Kaspersky Internet Security voor Android