A APKPure, uma das maiores lojas de aplicativos alternativas fora da Google Play Store, foi infectada com malware esta semana, permitindo que os agentes de ameaças distribuíssem cavalos de Troia para dispositivos Android.
Em um incidente semelhante ao do fabricante alemão de equipamentos de telecomunicações Gigaset , a versão 3.17.18 do cliente APKPure foi adulterada na tentativa de enganar usuários desavisados ??para que baixassem e instalassem aplicativos maliciosos vinculados ao código malicioso embutido no aplicativo APKpure.
O desenvolvimento foi relatado por pesquisadores da Doctor Web e da Kaspersky.
“Este trojan pertence à perigosa família de malware Android.Triada, capaz de baixar, instalar e desinstalar software sem a permissão do usuário”, disseram os pesquisadores da Doctor Web.
Hackers invadem APKPure Store para distribuir malware
De acordo com a Kaspersky, o APKPure versão 3.17.18 foi ajustado para incorporar um SDK de anúncio que atua como um Trojan dropper projetado para entregar outro malware ao dispositivo da vítima. “Este componente pode fazer várias coisas: exibir anúncios na tela de bloqueio; abrir guias do navegador; coletar informações sobre o dispositivo; e, o mais desagradável de tudo, baixar outro malware”, disse Igor Golovin da Kaspersky.
Em resposta às descobertas, o APKPure lançou uma nova versão do aplicativo (versão 3.17.19) em 9 de abril que remove o componente malicioso. “Corrigido um potencial problema de segurança, tornando o APKPure mais seguro de usar”, disseram os desenvolvedores por trás da plataforma de distribuição de aplicativos nas notas de lançamento.
Malware Joker infiltra-se no Huawei AppGallery
O APKPure não é o único hub de aplicativos Android de terceiros a encontrar malware. No início desta semana, os pesquisadores do Doctor Web divulgaram que encontraram 10 aplicativos que foram comprometidos com cavalos de Troia Joker (ou Bread) no AppGallery da Huawei, fazendo com que o malware fosse detectado pela primeira vez na loja de aplicativos oficial da empresa.
Os aplicativos chamariz, que assumiram a forma de teclado virtual, câmera e aplicativos de mensagens de três desenvolvedores diferentes, vieram com código oculto para se conectar a um servidor de comando e controle (C2) para baixar cargas adicionais que eram responsáveis ??pela assinatura automática usuários de dispositivos móveis para serviços móveis premium sem o seu conhecimento.
Embora as listagens de aplicativos tenham sido “ocultadas” da loja AppGallery, os usuários que instalaram os aplicativos anteriormente continuam correndo risco até que sejam removidos de seus telefones.
A lista de aplicativos de malware está abaixo:
- Super Keyboard (com.nova.superkeyboard)
- Happy Color (com.colour.syuhgbvcff)
- Cor divertida (com.funcolor.toucheffects)
- Novo teclado 2021 (com.newyear.onekeyboard)
- Camera MX – Photo Video Camera (com.sdkfj.uhbnji.dsfeff)
- Câmera BeautyPlus (com.beautyplus.excetwa.camera)
- Color RollingIcon (com.hwcolor.jinbao.rollingicon)
- Funney Meme Emoji (com.meme.rouijhhkl)
- Happy Tapping (com.tap.tap.duedd)
- All-in-One Messenger (com.messenger.sjdoifo)
Além disso, os pesquisadores disseram que a mesma carga de malware foi “usada por algumas outras versões do Android.Joker, que foram disseminadas, entre outros lugares, no Google Play, por exemplo, por aplicativos como o Shape Your Body Magical Pro, PIX Photo Motion Maker e outros.” Todos os aplicativos foram removidos da Play Store.
The Hacker News