APKPure, один из крупнейших альтернативных Google Play Store магазинов приложений, на этой неделе был заражен вредоносными программами, позволяющими злоумышленникам распространять трояны на Android-устройства.
В инциденте, аналогичном инциденту с немецким производителем телекоммуникационного оборудования Gigaset, клиент APKPure версии 3.17.18, как утверждается, был подделан в попытке обманом заставить ничего не подозревающих пользователей загрузить и установить вредоносные приложения, связанные с встроенным в приложение APKpure вредоносным кодом.
О ситуации сообщили исследователи компаний Doctor Web и Kaspersky.
Этот троян относится к опасному семейству вредоносных программ Android.Triada, способных загружать, устанавливать и удалять программы без разрешения пользователей», - отмечают исследователи Doctor Web.
«В APKPure версии 3.17.18 был добавлен рекламный SDK, который исполняет роль троянского дроппера, предназначенного для доставки других вредоносных программ на устройство жертвы. Этот компонент может делать несколько вещей: показывать рекламу на экране блокировки, открывать вкладки браузера, собирать информацию об устройстве и, что самое неприятное, загружать другие вредоносные программы», - сообщил Игорь Головин из компании Kaspersky.
В ответ на полученные данные, 9 апреля APKPure выпустила новую версию приложения (версия 3.17.19), которая не содержит вредоносных компонентов. «Исправлена потенциальная проблема безопасности, что сделало APKPure более безопасным в использовании», - сообщили в примечаниях к выпуску разработчики, стоящие за платформой APKPure.
Атака вредоноса Joker на Huawei AppGallery
APKPure - не единственный сталкивающийся с атаками вредоносного ПО сторонний центр приложений для Android. В начале этой недели исследователи компании Doctor Web обнаружили 10 приложений, которые были скомпрометированы троянами Joker (или Bread) в Huawei AppGallery, что было первым случаем обнаружения вредоносных программ в официальном магазине приложений компании.
Эти вредоносы, которые представляли собой виртуальную клавиатуру, камеру и приложения для обмена сообщениями от трех разных разработчиков, поставлялись со скрытым кодом для подключения к CnC-серверу, чтобы загрузить дополнительные вредоносные нагрузки, которые отвечали за автоматическую подписку пользователей устройств на премиальные мобильные сервисы без их ведома.
Хотя списки приложений с тех пор были скрыты из магазина AppGallery, пользователи, которые ранее установили приложения, продолжают оставаться в опасности до тех пор, пока вредоносы не будут удалены с их телефонов. Ниже приведен список вредоносных приложений Huawei AppGallery -
- Суперклавиатура (com.nova.superkeyboard)
- Happy Colour (com.color.syuhgbvcff)
- Веселый цвет (com.funcolor.toucheffects)
- Новая 2021 Клавиатура (com.newyear.onekeyboard)
- Камера MX - фото-видеокамера (com.sdkfj.uhbnji.dsfeff)
- Камера BeautyPlus (com.beautyplus.excetwa.camera)
- Color RollingIcon (com.hwcolor.jinbao.rollingicon)
- Funney Meme Emoji (com.meme.rouijhhkl)
- Счастливое нажатие (com.tap.tap.duedd)
- Посланник "Всё в одном" (com.messenger.sjdoifo)
Кроме того, исследователи заявили, что эта же вредоносная программа была «использована некоторыми другими версиями Android.Joker на Google Play, например, такими приложениями, как Shape Your Body Magical Pro, PIX Photo Motion Maker и другими». Все перечисленные приложения удалены из Play Store.
Перевод сделан со статьи: https://thehackernews.com
