APKPure: Un malware Android se cachait dans le magasin d’applications tiers

0

Les chercheurs en sécurité ont trouvé des logiciels malveillants cachés dans l’application officielle d’APKPure, un magasin d’applications Android tiers populaire et une alternative au Play Store officiel de Google.

Les utilisateurs d’Android utilisent l’application pour installer des applications et des jeux hébergés sur la plate-forme d’APKPure, soi-disant identiques à ceux disponibles via le Play Store.

Le malware a été découvert par les chercheurs de Kaspersky et Dr.Web. Ils étaient intégrés dans une publicité SDK inclus avec la version 3.7.18 d’APKPure.

Le malware ressemble ressemble à une variante du cheval de Troie Triada repéré par Kaspersky en 2016 [1, 2], capable de spammer les utilisateurs d’appareils infectés avec des annonces et de déployer des logiciels malveillants supplémentaires.

apkpure

« Le code malveillant identifié et intégré dans APKPure fonctionne de la manière suivante: lors du lancement de l’application, la charge utile est décryptée et lancée », a déclaré Kaspersky. Elle recueille ensuite des informations sur l’appareil de l’utilisateur et les envoie au serveur de commande et de contrôle. »

« Ensuite, un cheval de Troie qui a beaucoup en commun avec le malware Triada est chargé, il peut effectuer une gamme d’actions – allant de l’affichage et du clic sur les annonces jusqu’à l’inscription à des abonnements payants et le téléchargement d’autres logiciels malveillants. »

Ensuite, selon les instructions de ses opérateurs et le système de monétisation (annonces ou pay-per-install), le malware va:

  • montrer des publicités chaque fois que l’appareil Android est déverrouillé
  • ouvrir à plusieurs reprises des pages Web contenant des annonces
  • cliquer sur les publicités pour s’inscrire aux abonnements payants
  • installer d’autres charges utiles ou des logiciels potentiellement malveillants sans le consentement des utilisateurs

Les dégâts infligés par ce cheval de Troie varie en fonction de la version Android en cours d’exécution sur les appareils compromis, allant de l’inscription à des abonnements payants et l’affichage d’annonces intrusives sur les versions actuelles jusqu’à la présence de logiciels malveillants non-supprimables comme xHelper déployé sur la partition du système.

apkpure

Bien qu’aucune statistique officielle de téléchargement ne soit disponible pour l’application APKPure, Kaspersky dit avoir jusqu’à présent bloqué le malware sur les appareils de 9 380 utilisateurs d’Android utilisant ses solutions de sécurité sur leurs appareils.

Kaspersky et Dr.Web ont tous deux rapporté leurs résultats aux développeurs d’APKPure, qui ont déployé APKPure 3.17.19 récemment sans le code malveillant.

Les indicateurs de compromis, y compris des échantillons de l’application APKpure, la charge utile et des logiciels malveillants, sont disponibles à la fin du rapport de Kaspersky.

Laisser un commentaire