Специалисты компании «Доктор Веб» обнаружили вредоносную функциональность в официальном клиентском приложении популярного стороннего каталога Android-приложений APKPure. Встроенный в него троян загружает и устанавливает различные программы без разрешения пользователей, в том числе — другие вредоносные приложения.

APKPure — один из старейших и наиболее популярных сторонних каталогов игр и программ для платформы Android, который некоторые владельцы Android-устройств используют как альтернативу официальному магазину Google Play. Проведённый специалистами «Доктор Веб» анализ показал, что троян появился в клиенте APKPure версии 3.17.18, актуальной на момент выхода этой новости и распространяемой через официальный сайт площадки. Приложение подписано действительной цифровой подписью владельцев каталога. Это может говорить о том, что троян был встроен неустановленными инсайдерами намеренно, или же что произошел взлом, и злоумышленники получили доступ к внутренним ресурсам разработчиков магазина приложений. О вероятном взломе свидетельствует тот факт, что с аналогичным случаем столкнулся немецкий производитель телекоммуникационного оборудования Gigaset. По его словам, злоумышленники получили доступ к одному из серверов обновлений компании. После этого на некоторые модели Android-смартфонов Gigaset автоматически начали скачиваться и устанавливаться троянские программы, которые связаны со встроенным в приложение APKpure вредоносным кодом.

Первые данные о вредоносной версии клиента APKPure компания «Доктор Веб» получила 25 марта. За прошедшее с того момента время код трояна претерпел некоторые изменения, но его основная функциональность осталась прежней. Текущая модификация вредоносной программы детектируется антивирусом Dr.Web как Android.Triada.4912.

Троян принадлежит к семейству Android.Triada — опасных вредоносных приложений, загружающих, устанавливающих и удаляющих ПО без разрешения пользователей. В данном случае он играет роль первой ступени заражения. В его коде в зашифрованном виде скрыт другой представитель этого семейства, Android.Triada.566.origin, который выполняет основные вредоносные функции. После его расшифровки и запуска, этот компонент начинает загружать различные веб-сайты в браузере, установленном по умолчанию. Это могут быть как сайты с рекламным контентом, так и фишингом. Кроме того, он скачивает и запускает другие модули и разнообразные приложения. Тем самым злоумышленники, стоящие за этими троянами, зарабатывают на накрутке числа установок и рекламе.

Компания «Доктор Веб» уведомила владельцев площадки APKPure о найденной угрозе. Владельцам Android-устройств, установившим приложение APKPure, рекомендуется временно удалить его, чтобы избавиться от трояна. Кроме того, следует с осторожностью использовать любые другие неофициальные каталоги Android-программ.

Антивирусные продукты Dr.Web для Android успешно обнаруживают и удаляют известные версии указанных троянов, поэтому для пользователей «Доктор Веб» они не представляют опасности.

Исследование троянов продолжается.