Sklep APKPure został zainfekowany trojanem. Użytkownicy Huawei z HMS – to może być wasz problem
Sklep APKPure to jeden z najpopularniejszych, alternatywnych dla Google Play katalogów z aplikacjami dla Androida. Na ogół uważany był za bezpieczny. Aż do teraz – w jego własnej aplikacji został wykryty groźny trojan.
APKPure to jeden z największych sklepów z aplikacjami, stanowiący alternatywę dla Sklepu Play. Instalowali go między innymi zdesperowani użytkownicy telefonów Huawei z oprogramowaniem HMS, za to bez Google Mobile Services (GMS), zachęcani do tego sugestiami z wyszukiwarki Huawei Petal. Chociaż przez ostatnie lata APKPure miał dość dobrą opinię jako bezpieczne źródło aplikacji, to teraz ta dobra passa zakończyła się.
Kaspersky Lab wykrył w APKPure trojana
Specjaliści z firmy Kaspersky Lab wzięli APKPure pod lupę. I co się okazało? O ile dostępne w tym katalogu aplikacje okazały się czyste, to własna aplikacja APKPure – nie. W niebezpiecznej wersji, oznaczonej numerem 3.17.18, twórcy aplikacji zaimplementowali reklamowy moduł pochodzący z niezweryfikowanego źródła. W module tym przemycony został tzw. trojan dropper o nazwie HEUR:Trojan-Dropper.AndroidOS.Triada.ap. Trojan dropper to program, który sam w sobie nie musi być szkodliwy, ale ma zdolność pobierania i instalowania innego, złośliwego oprogramowania, które jest już w stanie wyrządzić poważne szkody.
Eksperci z Kaspersky Lab ostrzegają, że komponenty instalowane przez droppera mogą przeprowadzać różne działania, szkodliwe dla użytkownika, w tym wyświetlać niechciane reklamy na ekranie blokady, otwierać niebezpieczne strony internetowe, zbierać poufne dane użytkownika, a także instalować inny, złośliwy soft.
Scenariusz zagrożeń różni się w zależności od posiadanej wersji Androida. Jeżeli użytkownik ma smartfon z relatywnie nową wersją systemu, czyli z Androidem 8 lub późniejszym, i nie ma odblokowanego roota, narażony jest na dodatkowe moduły trojana Triada. Mogą one na przykład wykupić na rachunek użytkownika płatne subskrypcje lub pobierać kolejne moduły. Posiadacze starszych modeli, na przykład z Androidem 6 lub 7, bez nowych aktualizacji zabezpieczeń, mogą zostać zaatakowani przez trojana xHelper, czyli jedno z największych zagrożeń w świecie Androida. Ten złośliwy soft jest w stanie przetrwać nawet fabryczny reset, czyli procedurę, która zeruje pamięć i ustawienia smartfonu. Jeżeli xHelper uzyska przy tym prawa roota, możliwości jego działań są praktycznie nieograniczone.
Specjaliści z Kaspersky Lab 8 kwietnia poinformowali APKPure o swoim odkryciu. Użytkownicy APKPure w wersji 3.17.18 zachęcani są już do pobrania najnowszej wersji aplikacji 3.17.19, która pozbawiona jest tej poważnej dziury bezpieczeństwa. Analitycy z Kaspersky’ego potwierdzili już, że to wydanie jest bezpieczne.
