Перейти к содержимому


Фото
- - - - -

В клиентском ПО каталога Android-программ APKPure обнаружен троян


  • Please log in to reply
2 ответов в этой теме

#1 News Robot

News Robot

    Creator of the News

  • Dr.Web Staff
  • 7 935 Сообщений:

Отправлено 09 Апрель 2021 - 13:13

9 апреля 2021

Специалисты компании «Доктор Веб» обнаружили вредоносную функциональность в официальном клиентском приложении популярного стороннего каталога Android-приложений APKPure. Встроенный в него троян загружает и устанавливает различные программы без разрешения пользователей, в том числе — другие вредоносные приложения.

APKPure — один из старейших и наиболее популярных сторонних каталогов игр и программ для платформы Android, который некоторые владельцы Android-устройств используют как альтернативу официальному магазину Google Play. Проведенный нашими специалистами анализ показал, что троян появился в клиенте APKPure версии 3.17.18, актуальной на момент выхода этой новости и распространяемой через официальный сайт площадки. Приложение подписано действительной цифровой подписью владельцев каталога. Это может говорить о том, что троян был встроен неустановленными инсайдерами намеренно, или же что произошел взлом, и злоумышленники получили доступ к внутренним ресурсам разработчиков магазина приложений. О вероятном взломе свидетельствует тот факт, что с аналогичным случаем столкнулся немецкий производитель телекоммуникационного оборудования Gigaset. По его словам, злоумышленники получили доступ к одному из серверов обновлений компании. После этого на некоторые модели Android-смартфонов Gigaset автоматически начали скачиваться и устанавливаться троянские программы, которые связаны со встроенным в приложение APKpure вредоносным кодом.

Первые данные о вредоносной версии клиента APKPure наша компания получила 25 марта. За прошедшее с того момента время код трояна претерпел некоторые изменения, но его основная функциональность осталась прежней. Текущая модификация вредоносной программы детектируется антивирусом Dr.Web как Android.Triada.4912.

Троян принадлежит к семейству Android.Triada — опасных вредоносных приложений, загружающих, устанавливающих и удаляющих ПО без разрешения пользователей. В данном случае он играет роль первой ступени заражения. В его коде в зашифрованном виде скрыт другой представитель этого семейства, Android.Triada.566.origin, который выполняет основные вредоносные функции. После его расшифровки и запуска, этот компонент начинает загружать различные веб-сайты в браузере, установленном по умолчанию. Это могут быть как сайты с рекламным контентом, так и фишингом. Кроме того, он скачивает и запускает другие модули и разнообразные приложения. Тем самым злоумышленники, стоящие за этими троянами, зарабатывают на накрутке числа установок и рекламе.

Компания «Доктор Веб» уведомила владельцев площадки APKPure о найденной угрозе. Владельцам Android-устройств, установившим приложение APKPure, рекомендуется временно удалить его, чтобы избавиться от трояна. Кроме того, следует с осторожностью использовать любые другие неофициальные каталоги Android-программ.

Антивирусные продукты Dr.Web для Android успешно обнаруживают и удаляют известные версии указанных троянов, поэтому для наших пользователей они не представляют опасности.

Исследование троянов продолжается.

Dr.Web Mobile Security

Ваш Android нуждается в защите.

Используйте Dr.Web

  • Первый российский антивирус для Android
  • Более 140 миллионов скачиваний только с Google Play
  • Бесплатный для пользователей домашних продуктов Dr.Web

Скачать бесплатно



Читать оригинал

#2 NickM

NickM

    Member

  • Posters
  • 182 Сообщений:

Отправлено 09 Апрель 2021 - 21:04

Хмм, а кто был первый?

 

"Вредоносный код в приложении APKPure".



#3 Dmitry Shutov

Dmitry Shutov

    Poster

  • Virus Hunters
  • 1 677 Сообщений:

Отправлено 09 Апрель 2021 - 21:16

Хмм, а кто был первый?

 

"Вредоносный код в приложении APKPure".

 

+1   :D

 

https://twitter.com/e_kaspersky/status/1380577914220085250?s=20




Читают тему: 1

0 пользователей, 1 гостей, 0 скрытых