9 aprile 2021

Gli specialisti dell'azienda Doctor Web hanno rilevato funzionalità malevole nell'applicazione client ufficiale del popolare store di terze parti di app Android APKPure. Il trojan incorporato in questa applicazione scarica e installa senza autorizzazione dell'utente vari programmi, compresi quelli malevoli.

APKPure — uno degli store di terze parti più vecchi e popolari di giochi e app per la piattaforma Android che alcuni proprietari di dispositivi Android utilizzano in alternativa allo store ufficiale Google Play. L'analisi svolta dai nostri specialisti mostra che il trojan è comparso nel client APKPure versione 3.17.18 che è la versione attuale al momento della pubblicazione di questa notizia distribuita attraverso il sito ufficiale dello store. L'app è firmata con una firma digitale valida dei proprietari dello store. Ciò potrebbe indicare che il trojan è stato incorporato intenzionalmente da insider non identificati o che si è verificato un hackeraggio e i malintenzionati hanno ottenuto l'accesso alle risorse interne degli sviluppatori dello store di app. Il possibile hackeraggio è testimoniato dal fatto che un caso simile è stato riscontrato da un produttore tedesco di apparecchiature per le telecomunicazioni Gigaset. Secondo quanto detto da questa azienda, i malintenzionati hanno ottenuto l'accesso a uno dei suoi server di aggiornamento. Dopo questo su alcuni modelli di smartphone Android Gigaset sono stati scaricati e installati programmi trojan che sono legati al codice malevolo incorporato nell'applicazione APKpure.

I primi dati sulla versione malevola del client APKPure sono stati ottenuti dalla nostra azienda il 25 marzo. Durante il tempo trascorso da quel momento il codice del trojan ha subito alcune modifiche, ma le sue funzionalità principali sono rimaste le stesse. La variante attuale del programma malevolo viene rilevata dall'antivirus Dr.Web come Android.Triada.4912.

Il trojan appartiene ad Android.Triada — una famiglia di pericolose applicazioni che scaricano, installano e rimuovo software senza autorizzazione dell'utente. In questo caso svolge il ruolo della prima fase di infezione. Nel suo codice è nascosto in forma cifrata un altro campione di questa famiglia, Android.Triada.566.origin, che esegue le principali funzionalità malevole. Dopo la decifratura e l'avvio questo componente si mette a caricare vari siti nel browser installato di default. Possono essere sia siti con contenuti pubblicitari che con il phishing. Inoltre, scarica e lancia altri moduli e svariate app. In questo modo i malintenzionati che sono dietro questi trojan guadagnano con l'aumento fraudolento del numero di installazioni e con la pubblicità.

L'azienda Doctor Web ha avvisato i proprietari dello store di app APKPure della minaccia rilevata. Ai proprietari di dispositivi Android che hanno installato l'app APKPure si consiglia di rimuoverla temporaneamente per sbarazzarsi del trojan. Inoltre, si dovrebbe essere attenti quando si utilizza qualsiasi altro store di app Android non ufficiale.

I prodotti antivirus Dr.Web per Android rilevano e rimuovono con successo le versioni conosciute dei trojan sopracitati, pertanto, esse non rappresentano un pericolo per i nostri utenti.

La ricerca sui trojan continua.

Il tuo Android ha bisogno di protezione.

Utilizza Dr.Web

• Il primo antivirus russo per Android
• Oltre 140 milioni di download solo da Google Play
• Gratis per gli utenti dei prodotti Dr.Web per privati

Scarica gratis