Ciberdelincuentes manipularon la tienda APKPure para distribuir aplicaciones de malware

APKPure, una de las tiendas de aplicaciones alternativas más grandes fuera de Google Play Store, se infectó con malware, lo que permitió a los actores de amenazas distribuir troyanos a dispositivos Android.

Se dice que la versión 3.17.18 del cliente APKPure fue manipulada en un intento de engañar a los usuarios desprevenidos para que descarguen e instalen aplicaciones maliciosas vinculadas al código malicioso integrado en APKpure. aplicación.

El desarrollo fue informado por investigadores de Doctor Web y Kaspersky .

«Este troyano pertenece a la peligrosa familia de malware Android.Triada capaz de descargar, instalar y desinstalar software sin el permiso de los usuarios», dijeron los investigadores de Doctor Web.

Según Kaspersky, la versión 3.17.18 de APKPure se modificó para incorporar un SDK de publicidad que actúa como un cuentagotas troyano diseñado para enviar otro malware al dispositivo de la víctima. «Este componente puede hacer varias cosas: mostrar anuncios en la pantalla de bloqueo, abrir pestañas del navegador, recopilar información sobre el dispositivo y, lo más desagradable de todo, descargar otro malware», dijo Igor Golovin de Kaspersky.

En respuesta a los hallazgos, APKPure lanzó una nueva versión de la aplicación (versión 3.17.19) el 9 de abril que elimina el componente malicioso. «Se corrigió un problema de seguridad potencial, haciendo que APKPure sea más seguro de usar», dijeron los desarrolladores detrás de la plataforma de distribución de aplicaciones en las notas de la versión.

El malware de Joker se infiltra en la aplicación de Huawei

APKPure no es el único centro de aplicaciones de Android de terceros que encuentra malware. A principios de esta semana, los investigadores de Doctor Web revelaron que encontraron 10 aplicaciones que estaban comprometidas con los troyanos Joker (o Bread) en la AppGallery de Huawei, por lo que es la primera vez que se detecta malware en la tienda de aplicaciones oficial de la compañía.

Las aplicaciones señuelo, que tomaron la forma de un teclado virtual, una cámara y aplicaciones de mensajería de tres desarrolladores diferentes, venían con un código oculto para conectarse a un servidor de comando y control (C2) para descargar cargas útiles adicionales que eran responsables de suscribirse automáticamente. usuarios de dispositivos a servicios móviles premium sin su conocimiento.

Aunque las listas de aplicaciones se han «ocultado» desde entonces en la tienda AppGallery, los usuarios que han instalado previamente las aplicaciones siguen estando en riesgo hasta que se eliminan de sus teléfonos. La lista de aplicaciones de malware se encuentra a continuación:

  • Super teclado (com.nova.superkeyboard)
  • Happy Color (com.colour.syuhgbvcff)
  • Color divertido (com.funcolor.toucheffects)
  • Nuevo teclado 2021 (com.newyear.onekeyboard)
  • Camera MX – Cámara de video fotográfica (com.sdkfj.uhbnji.dsfeff)
  • Cámara BeautyPlus (com.beautyplus.excetwa.camera)
  • Color RollingIcon (com.hwcolor.jinbao.rollingicon)
  • Funney Meme Emoji (com.meme.rouijhhkl)
  • Happy Tapping (com.tap.tap.duedd)
  • Mensajero todo en uno (com.messenger.sjdoifo)

Además, los investigadores dijeron que la misma carga útil de malware fue «utilizada por algunas otras versiones de Android.Joker, que se difundieron, entre otros lugares, en Google Play, por ejemplo, por aplicaciones como Shape Your Body Magical Pro, PIX Photo Motion Maker y otros «. Todas las aplicaciones se han eliminado de Play Store.