Malafide module aangetroffen in alternatieve appwinkel APKPure

14-04-2021 | door: Wouter Hoeffnagel

Malafide module aangetroffen in alternatieve appwinkel APKPure

De alternatieve appwinkel APKPure was geïnfecteerd met een kwaadaardige module die Trojaanse paarden downloadt op Android apparaten. Hiervoor waarschuwt onderzoekers van Kaspersky.

Kaspersky-experts hebben een schadelijke code gevonden in versie 3.17.18 voor de officiële versie van de APKPure-app store. De onderzoekers vonden de code in de advertentiebibliotheek van de applicatie. De code is daar waarschijnlijk verschenen vanwege de samenwerking van de app-ontwikkelaars met een gewetenloze adverteerder. Een soortgelijk geval heeft plaatsgevonden met het CamScanner-incident toen een nieuwe advertentie-SDK van een niet-geverifieerde bron werd geïmplementeerd.

Werkwijze

De geïdentificeerde code in APKPure werkt op de volgende manier: bij het starten van de applicatie wordt de payload gedecodeerd en gestart. Deze verzamelt vervolgens informatie over het gebruikersapparaat en stuurt dit naar de C&C-server. Vervolgens wordt een Trojaans paard geladen dat veel gemeen heeft met de beruchte Triada-malware, in die zin dat het een reeks acties kan uitvoeren - van het weergeven en klikken op advertenties tot het aanmelden voor betaalde abonnementen en het downloaden van andere malware.

Afhankelijk van de response, kan de malware daarna:

  • Advertenties laten zien wanneer het apparaat is ontgrendeld
  • Herhaaldelijk browserpagina's met advertenties openen
  • Extra, uitvoerbare modules laden

“Afhankelijk van de OS-versie kan de Trojan verschillende vormen van schade toebrengen. APKPure-gebruikers met de huidige Android-versies lopen het meeste risico op betaalde abonnementen en opdringerige advertenties, die vanuit het niets verschijnen. Gebruikers van smartphones die geen beveiligingsupdates ontvangen, hebben minder geluk: in verouderde versies van het besturingssysteem kan de malware niet alleen extra apps laden, maar deze ook op de systeempartitie installeren. Dit kan ertoe leiden dat een niet-verwijderbare Trojan, zoals xHelper, op het apparaat terechtkomt. We zijn blij dat we de markt kunnen informeren over dit probleem en een oplossing kunnen melden. We dringen bij alle APKPure-gebruikers erop aan om het programma onmiddellijk bij te werken naar versie 3.17.19 ”, zegt Igor Golovin, beveiligingsexpert bij Kaspersky.

Kaspersky-oplossingen hebben het kwaadaardige implantaat gedetecteerd als HEUR: Trojan-Dropper.AndroidOS.Triada.ap. Kaspersky meldde het probleem op 8 april aan de markt. Het probleem is opgelost in versie 3.17.19, die al beschikbaar is om te downloaden.

Om veilig te blijven geeft Kaspersky APKPure-gebruikers het volgende advies:

  • Update de applicatie onmiddellijk naar versie 3.17.19
  • Scan het systeem op andere Trojaanse paarden met een betrouwbare beveiligingsoplossing, zoals Kaspersky Internet Security voor Android
Terug naar nieuws overzicht
Security