APKPure, l’un des plus grands magasins d’applications alternatifs en dehors du Google Play Store, a été infecté par des logiciels malveillants cette semaine, permettant aux auteurs de menaces de distribuer des chevaux de Troie sur des appareils Android.
Dans une attaque de la chaîne d’approvisionnement similaire à celle du fabricant d’équipement de télécommunications allemand Gigaset, la version 3.17.18 du client APKPure aurait été falsifiée dans le but de tromper les utilisateurs sans méfiance en leur demandant de télécharger et d’installer des applications malveillantes liées au code malveillant l’application APKpure.
Le développement a été rapporté par des chercheurs de Docteur Web et Kaspersky.
«Ce cheval de Troie appartient à la famille de logiciels malveillants dangereux Android.Triada, capables de télécharger, d’installer et de désinstaller des logiciels sans l’autorisation des utilisateurs», ont déclaré les chercheurs de Doctor Web.
Selon Kaspersky, la version 3.17.18 d’APKPure a été modifiée pour intégrer un SDK publicitaire qui agit comme un compte-gouttes de cheval de Troie conçu pour transmettre d’autres logiciels malveillants à l’appareil de la victime. « Ce composant peut faire plusieurs choses: afficher des publicités sur l’écran de verrouillage; ouvrir les onglets du navigateur; collecter des informations sur l’appareil; et, le plus désagréable de tous, télécharger d’autres logiciels malveillants », a déclaré Igor Golovin de Kaspersky.
En réponse aux résultats, APKPure a publié le 9 avril une nouvelle version de l’application (version 3.17.19) qui supprime le composant malveillant. « Correction d’un problème de sécurité potentiel, rendant l’utilisation d’APKPure plus sûre », expliquent les développeurs de la plate-forme de distribution d’applications mentionné dans les notes de version.
Joker Malware s’infiltre dans l’application Huawei
APKPure n’est pas le seul hub d’applications Android tiers à rencontrer des logiciels malveillants. Plus tôt cette semaine, les chercheurs de Doctor Web divulgué il a trouvé 10 applications qui ont été compromises avec des chevaux de Troie Joker (ou Bread) dans l’AppGallery de Huawei, ce qui fait de la première fois qu’un malware a été détecté dans l’App Store officiel de la société.
Les applications leurres, qui prenaient la forme d’un clavier virtuel, d’une caméra et d’applications de messagerie de trois développeurs différents, étaient livrées avec un code caché pour se connecter à un serveur de commande et de contrôle (C2) afin de télécharger des charges utiles supplémentaires responsables de l’abonnement automatique. utilisateurs d’appareils à des services mobiles premium à leur insu.
Bien que les listes d’applications aient depuis été «masquées» de la boutique AppGallery, les utilisateurs qui ont déjà installé les applications continuent de courir des risques jusqu’à ce qu’ils soient supprimés de leur téléphone. La liste des applications malveillantes est ci-dessous –
- Super clavier (com.nova.superkeyboard)
- Happy Color (com.colour.syuhgbvcff)
- Couleur amusante (com.funcolor.toucheffects)
- Nouveau clavier 2021 (com.newyear.onekeyboard)
- Camera MX – Caméra vidéo photo (com.sdkfj.uhbnji.dsfeff)
- Caméra BeautyPlus (com.beautyplus.excetwa.camera)
- Couleur RollingIcon (com.hwcolor.jinbao.rollingicon)
- Funney Meme Emoji (com.meme.rouijhhkl)
- Happy Tapping (com.tap.tap.duedd)
- Messenger tout-en-un (com.messenger.sjdoifo)
De plus, les chercheurs mentionné la même charge utile de malware a été « utilisée par d’autres versions d’Android.Joker, qui ont été diffusées, entre autres, sur Google Play, par exemple, par des applications telles que Shape Your Body Magical Pro, PIX Photo Motion Maker, et d’autres. . » Toutes les applications ont été supprimées du Play Store.