Троянец в каталоге Android-программ APKPure

По сообщению компании «Доктор Веб», ее специалисты обнаружили вредоносную функциональность в официальном клиентском приложении стороннего каталога Android-приложений APKPure. Встроенный в него троянец загружает и устанавливает различные программы без разрешения пользователей, в том числе другие вредоносные приложения.

APKPure – один из старейших сторонних каталогов игр и программ для платформы Android, который некоторые владельцы Android-устройств используют как альтернативу официальному магазину Google Play. Проведенный специалистами «Доктор Веб» анализ показал, что троянец появился в клиенте APKPure актуальной версии 3.17.18, распространяемой через официальный сайт площадки. Приложение подписано действительной цифровой подписью владельцев каталога. Это может говорить о том, считают в «Доктор Веб», что троянец был встроен неустановленными инсайдерами намеренно или же что произошел взлом и злоумышленники получили доступ к внутренним ресурсам разработчиков магазина приложений. О вероятном взломе свидетельствует тот факт, что с аналогичным случаем столкнулся немецкий производитель телеком-оборудования Gigaset.

Троянец принадлежит к семейству Android.Triada – вредоносных приложений, загружающих, устанавливающих и удаляющих ПО без разрешения пользователей. Текущая его модификация детектируется антивирусом Dr.Web как Android.Triada.4912. В данном случае троянец играет роль первой ступени заражения: в его коде в зашифрованном виде скрыт другой представитель этого семейства, Android.Triada.566.origin, который выполняет основные вредоносные функции. После расшифровки и запуска этот компонент начинает загружать различные веб-сайты в браузере, установленном по умолчанию. Это могут быть сайты как с рекламным контентом, так и с фишингом. Кроме того, он скачивает и запускает другие модули и разнообразные приложения. Тем самым злоумышленники зарабатывают на накрутке числа установок и рекламе.

Компания «Доктор Веб» уведомила владельцев площадки APKPure о найденной угрозе. Владельцам Android-устройств, установившим приложение APKPure, рекомендуется временно удалить его, чтобы избавиться от троянца. Кроме того, эксперты предупреждают, что следует с осторожностью использовать любые другие неофициальные каталоги Android-программ.