Zainfekowany sklep z aplikacjami dla systemu Android

Sklep z aplikacjami APKPure został zainfekowany szkodliwym modułem, który pobiera na urządzenia z systemem Android trojany.

Zawsze zalecamy, aby pobierać aplikacje wyłącznie z oficjalnych sklepów, aby zmniejszyć prawdopodobieństwo instalacji szkodliwego programu. Sytuacja może być bardziej skomplikowana: w nieoficjalnych sklepach mogą znajdować się szkodliwe aplikacje, ale może się też zdarzyć, że mogą one stwarzać zagrożenie same w sobie. Według najnowszych informacji APKPure, popularne alternatywne źródło aplikacji dla systemu Android, zostało zainfekowane trojanem i dystrybuowało inne trojany.

Do czego służy zasób APKPure?

Najbardziej znanym oficjalnym sklepem dla aplikacji dla systemu Android jest oczywiście Google Play. Jednak jest on dostępny tylko na urządzeniach, które używają usługi Google Mobile Services (GMS) i są mocno związane z infrastrukturą firmy Google. Część producentów stara się, aby biblioteki GMS pozostały zależne, a z racji tego, że Android to otwarty system operacyjny, mają taki wybór.

Z punktu widzenia użytkowników takie podejście ma zarówno swoje plusy, jak i minusy. Największą wadą jest tu utrata dostępu do sklep z aplikacjami firmy Google, w którym użytkownicy systemu Android mogą pobierać aplikacje.

Tu wchodzą do gry sklepy alternatywne, a jednym z nich jest APKPure. Wygląda na to, że znajdują się w nim tylko aplikacje darmowe lub udostępniane na licencji shareware. Ponadto jego właściciele podkreślają, że umieszczane w nim aplikacje zostały przeskanowane przez Google i są całkowicie bezpieczne. Zapewniają, że zasoby te są dokładnie takie same, jak dostępne w sklepie Google Play.

Jak doszło do infekcji sklepu APKPure?

Wprawdzie aplikacje dostępne w tym sklepie mogły przejść wszystkie testy, ale sama aplikacja APKPure już nie została sprawdzona. Incydent ten mocno przypomina sytuację z CamScanner, w której producenci aplikacji zaimplementowali reklamowy pakiet SDK z niezweryfikowanego źródła, a w efekcie przybrał on szkodliwy charakter. W ten właśnie sposób w sklepie APKPure pojawiło się szkodliwe oprogramowanie.

Wygląda na to, że wersja 3.17.18 aplikacji APKPure także została wyposażona w reklamowy pakiet SDK; taki, w którym osadzony był trojan dropper, który rozwiązania firmy Kaspersky wykrywają jako HEUR:Trojan-Dropper.AndroidOS.Triada.ap. Po uruchomieniu go rozpakowywał swoją zawartość i uruchamiał szkodliwą funkcję, co stwarzało zagrożenie. Komponent ten może wykonać kilka działań: wyświetlać reklamy na zablokowanym ekranie; otwierać karty przeglądarki; gromadzić informacje związane z danym urządzeniem; i — co najgorsze — pobierać inne szkodliwe programy.

Co może robić na urządzeniu zainstalowana aplikacja APKPure?

Po pobraniu trojana (innego niż ten, który jest już wbudowany w APKPure) dalsze działania zależą od wersji systemu Android, a także od tego, z jaką częstotliwością producent smartfona udostępnia — a użytkownik instaluje — aktualizacje bezpieczeństwa.

Jeśli użytkownik korzysta ze stosunkowo nowej wersji opisywanego systemu operacyjnego, czyli Android 8 lub nowszego, który nie obsługuje uprawnień administratora, ładuje on dodatkowe moduły dla trojana Triada. Moduły te mogą np. kupować subskrypcje o podwyższonej opłacie oraz pobierać inne szkodliwe programy.

Jeśli urządzenie jest starsze i działa pod kontrolą systemu Android 6 lub 7, a także nie ma na nim zainstalowanych aktualizacji bezpieczeństwa (w niektórych przypadkach nie udostępniają ich już sami producenci), dość łatwo można je zrootować, a następnie może zostać pobrany trojan xHelper. Usunięcie tego zagrożenia stanowi prawdziwe wyzwanie; nie pomoże nawet przywrócenie ustawień fabrycznych. Mając dostęp na poziomie uprawnień administratora, xHelper umożliwia atakującym robienie na urządzeniu wszystkiego, co tylko zechcą.

Czy sklep APKPure stwarza jeszcze zagrożenie?

8 kwietnia poinformowaliśmy sklep APKPure o tym problemie. 9 kwietnia przedstawiciele sklepu odpisali nam, że zarejestrowali ten incydent i pracują nad wyeliminowaniem błędu. Wkrótce później na stronie internetowej APKPure (3.17.19) pojawiła się nowa wersja. Według jej opisu aktualizacja naprawiła potencjalny problem z bezpieczeństwem.

Możemy potwierdzić, że wspomniany problem został wyeliminowany: aplikacja APKPure 3.17.19 nie zawiera szkodliwego komponentu. Można jej zatem bezpiecznie używać.

Jak zapewnić sobie ochronę przed trojanem umieszczonym w aplikacji APKPure

Jeśli nie używasz sklepu APKPure, masz problem z głowy. Aby jednak uniknąć podobnych sytuacji w przyszłości:

  • Nigdy nie pobieraj aplikacji z nieoficjalnych źródeł, a także zablokuj w ustawieniach systemu Android możliwość instalacji aplikacji ze źródeł obcych.
  • Korzystaj z rzetelnego rozwiązania ochronnego, które będzie automatycznie skanować wszystkie nowe pliki.
  • Regularnie aktualizuj wszystkie aplikacje i system operacyjny.

Jeśli korzystasz ze sklepu APKPure, warto dodatkowo:

  • Zaktualizować aplikację APKPure do wersji, w której omawiany problem został wyeliminowany (czyli do wersji 3.17.19 lub wyższej).
  • Uruchom skanowanie antywirusowe na urządzeniu.
Porady