Аналитики «Доктор Веб» и «Лаборатории Касперского» сообщают, что официальный клиент альтернативного магазина Android-приложений APKPure был заражен малварью.
Трон-дроппер проник в рекламный SDK приложения, и был найден в клиенте APKPure версии 3.17.18, который распространялся через официальный сайт площадки. Приложение было подписано действительной цифровой подписью владельцев каталога.
Исследователи пишут, что APKPure, похоже, повторил судьбу популярного приложения CamScanner. В 2019 году разработчик внедрил в CamScanner рекламный SDK из непроверенного источника, и в итоге миллионы пользователей пострадали от малвари.
В случае APKPure вредонос был способен показывать рекламу при разблокировке устройства, периодически открывать браузер с рекламными страницами, загружать дополнительные исполняемые модули. Исследователи наблюдали, как при помощи APKPure был загружен троян, похожий на малварь семейства Triada, обладающий обширными возможностями: от показа и прокликивания рекламы до оформления платных подписок и загрузки других вредоносов.
Если же зараженное устройство было старым, с Android 6 или 7 на борту, где получит root-права совсем нетрудно, мог загрузиться и троян xHelper, который позволяет злоумышленникам делать на устройстве практически все, что им заблагорассудится.
Заражение было обнаружено в конце марта, начале апреля 2021 года, и, по информации «Лаборатории Касперского», в компании APKPure подтвердили наличие проблемы и оперативно выпустили версию 3.17.19, в которой она устранена. Сколько пользователей успели пострадать от вредоносной версии APKPure, неизвестно.