A seguito di una recente indagine, gli esperti di Kaspersky hanno scoperto che l’app store APKPure, una popolare risorsa alternativa di applicazioni Android, è stata infettata da un modulo dannoso che scarica Trojan sui dispositivi Android.
L’incidente ricorda molto l’episodio di CamScanner in cui gli sviluppatori dell’app avevano implementato un SDK pubblicitario da una fonte non verificata e che si è poi rivelato dannoso. Questo è anche il modo in cui un malware è riuscito ad accedere ad APKPure.
Sembrerebbe che la versione 3.17.18 di APKPure sia stata dotata di un SDK (Software Development Kit) pubblicitario simile che conteneva un Trojan dropper e che le soluzioni Kaspersky rilevano come HEUR:Trojan-Dropper.AndroidOS.Triada.ap.
Una volta avviato, il dropper estrae ed esegue il suo payload, che è la parte pericolosa. Questa componente può svolgere diverse attività dannose tra cui: mostrare annunci sulla schermata di blocco, aprire schede del browser, raccogliere informazioni sul dispositivo e scaricare altri malware.
Il tipo di Trojan che viene scaricato (oltre a quello presente di per sé all’interno di APKPure) è relativo alla versione Android e da quanto regolarmente il vendor di smartphone abbia rilasciato (e l’utente abbia installato) gli aggiornamenti di sicurezza.
Se l’utente ha una versione relativamente recente del sistema operativo (Android 8 o superiore) che non concede i permessi di root facilmente, allora vengono caricati i moduli aggiuntivi per il Trojan Triada. Questi moduli possono acquistare anche abbonamenti premium e scaricare altri malware.
Se il dispositivo è più vecchio (utilizza Android 6 o 7 e senza aggiornamenti di sicurezza installati o in alcuni casi nemmeno rilasciati dal vendor), sarebbe più facile effettuare il rooting e verrebbe scaricato il Trojan xHelper che consentirebbe ai cybercriminali di fare quasi tutto ciò che vogliono sul dispositivo.
Kaspersky ha informato l’8 aprile APKPure e i rappresentanti dell’app store hanno risposto, il 9 aprile, di aver già riscontrato il problema e che stavano lavorando alla correzione. Poco dopo, una nuova versione (3.17.19) è apparsa sul sito di APKPure. Secondo la descrizione, l’aggiornamento “ha risolto un potenziale problema di sicurezza, rendendo APKPure più sicuro per l’uso”.
“Possiamo confermare che il problema è stato effettivamente risolto: APKPure 3.17.19 non contiene il componente dannoso. Ed è sicuro da usare”, conclude Kaspersky.
Gli esperti di Kaspersky segnalano sul sito come difendersi dalla versione infetta di APKPure e raccomandano sempre di scaricare le app solo dagli store ufficiali, per ridurre le possibilità di installare malware. In ogni caso, gli store non ufficiali non solo possono ospitare app dannose, ma potrebbero anche non essere sicuri.
https://www.kaspersky.it/blog/infected-apkpure/24344/
