Зараженный магазин приложений для Android

Магазин приложений APKPure заразили вредоносным модулем, который загружает на Android-устройства пользователей трояны.

Магазин приложений APKPure для Android заразили вредоносным модулем, который загружает трояны на устройства пользователей

Мы регулярно советуем скачивать приложения только из официальных магазинов — так меньше вероятность установить себе зловред. Однако зловредным может быть не только приложение, скачанное из неофициального магазина, но и сам магазин. Мы обнаружили, что пользующийся популярностью среди пользователей альтернативный источник Android-приложений APKPure превратился в троян и распространял других троянов.

Что такое APKPure и зачем он нужен

Самый-самый официальный магазин Android-приложений — Google Play. Но он есть только на тех устройствах, в которых используются библиотеки Google Mobile Services и которые прочно завязаны на инфраструктуру Google. Некоторые производители хотят быть независимыми от Google, поэтому избавляются от этих библиотек. Android — открытая операционная система, так что такая возможность есть.

Для пользователей в этом могут быть и плюсы, и минусы. И один из минусов — потеря доступа к магазину Google Play. Получается, что скачивать привычные приложения на таких смартфонах неоткуда.

Вот тут-то на помощь и приходят альтернативные магазины, в том числе APKPure. Причем APKPure отличается тем, что размещает только бесплатные или условно-бесплатные приложения. На страницах самого сервиса написано, что приложения там точно такие же, как в Google Play — без каких-либо доработок или модификаций. Тем самым владельцы сервиса пытаются подчеркнуть, что приложения прошли проверку и полностью безопасны.

Что случилось с APKPure?

Приложения, которые загружаются из APKPure, проверку, может, и прошли, а вот само приложение APKPure — нет. И похоже, что его разработчики повторили историю другого популярного приложения, Camscanner, использовав рекламный SDK из непроверенного источника. Так в APKPure появился вредоносный код.

В результате в приложение APKPure версии 3.17.18 вместе с рекламным SDK был встроен троян-дроппер, который решения «Лаборатории Касперского» детектируют как HEUR:Trojan-Dropper.AndroidOS.Triada.ap. При запуске он распаковывает и запускает полезную нагрузку — собственно зловредный компонент. Этот компонент умеет делать несколько вещей: показывать рекламу на экране блокировки, открывать вкладки в браузере, собирать информацию об устройстве и, что самое неприятное, загружать других зловредов.

Что может произойти с устройством, на котором установлен APKPure

Какой именно троян будет загружен в дополнение к уже встроенному в APKPure — зависит от версии Android, а также от того, насколько регулярно производитель смартфона выпускал обновления безопасности и насколько регулярно пользователь их устанавливал.

Если у пользователя — одна из сравнительно свежих версий операционной системы, начиная с Android 8, в которой нельзя просто так взять и получить права root, то загрузятся дополнительные модули трояна Triada. Эти модули, среди прочего, умеют оформлять от лица пользователя нежелательные платные подписки, а также загружать других зловредов.

Если же устройство старое, с Android 6 или 7, в которых не установлены обновления безопасности (или для которых производитель их вообще не выпустил) и где «рута» получить проще, то может загрузиться и троян xHelper. Вытравить его с устройства очень сложно — не спасает даже сброс к заводским настройкам. Благодаря наличию root-прав xHelper позволяет злоумышленникам делать на устройстве практически все, что им вообще заблагорассудится.

Безопасен ли сейчас APKPure

8 апреля мы связались с представителями APKPure и сообщили им о проблеме. 9 апреля мы получили от них ответ, что они нашли проблему и работают над ее устранением. Практически сразу же на сайте появилась новая версия приложения — APKPure 3.17.19, в которой, по заявлениям разработчика, «исправлена потенциальная проблема с безопасностью».

По нашим данным, в версии 3.17.19 зловредный компонент убрали, так что APKPure вновь можно пользоваться.

Как защититься от троянов из APKPure

Если вы не пользовались APKPure, то можете не переживать — вас сегодняшняя проблема не касается. А чтобы не столкнуться с чем-то подобным в будущем:

Если же вы пользовались приложением APKPure, то в дополнение к этим трем пунктам советуем:

  • Незамедлительно обновить APKPure до версии 3.17.19 (или более новой), где проблема исправлена.
  • Провести полную проверку устройства антивирусом.
Советы

Как отключить слежку в iOS?

У вас есть iPhone, iPad или iPod? Потратьте несколько минут на настройку служб геолокации, чтобы сэкономить заряд батареи и сохранить конфиденциальность перемещений.