Σύμφωνα με τους ερευνητές της Kaspersky, το παράνομο λογισμικό βρέθηκε στη διαφημιστική βιβλιοθήκη της εφαρμογής. Ο κώδικας πιθανότατα εμφανίστηκε εκεί λόγω της συνεργασίας των προγραμματιστών εφαρμογών με έναν κακόβουλο διαφημιζόμενο. Υπήρχε παρόμοια περίπτωση με το περιστατικό CamScanner, όταν εφαρμόστηκε ένα νέο SDK διαφήμισης από μια μη επαληθευμένη πηγή.
Ο αναγνωρισμένος κακόβουλος κώδικας που είναι ενσωματωμένος στο APKPure λειτουργεί με τον ακόλουθο τρόπο: κατά την έναρξη της εφαρμογής, το ωφέλιμο φορτίο αποκρυπτογραφείται και τίθεται σε λειτουργία.
Στη συνέχεια, συλλέγει πληροφορίες σχετικά με τη συσκευή χρήστη και τις στέλνει στον C&C server. Έπειτα, φορτώνεται ένα Trojan που έχει πολλά κοινά με το διαβόητο κακόβουλο λογισμικό Triada, καθώς μπορεί να εκτελέσει μια σειρά ενεργειών – από την εμφάνιση και το κλικάρισμα σε διαφημίσεις μέχρι την εγγραφή σε επί πληρωμή συνδρομές και τη λήψη άλλων κακόβουλων προγραμμάτων.
Ανάλογα με την απόκριση που ελήφθη, το κακόβουλο λογισμικό μπορεί:
- Να εμφανίζει διαφημίσεις όταν η συσκευή είναι ξεκλείδωτη.
- Να ανοίγει επανειλημμένα διαφημίσεις στις σελίδες του προγράμματος περιήγησης.
- Να φορτώνει πρόσθετες, εκτελέσιμες λειτουργίες.
«Ανάλογα με την έκδοση του λειτουργικού συστήματος, το Trojan μπορεί να προκαλέσει διάφορες μορφές ζημιάς στο θύμα. Οι χρήστες του APKPure με τρέχουσες εκδόσεις Android διατρέχουν κυρίως τον κίνδυνο να πληρώσουν συνδρομές και να τους εμφανίζονται από το πουθενά παρεμβατικές διαφημίσεις. Οι χρήστες smartphone που δεν λαμβάνουν ενημερώσεις ασφαλείας είναι λιγότερο τυχεροί: σε ξεπερασμένες εκδόσεις του λειτουργικού συστήματος, το κακόβουλο λογισμικό είναι ικανό όχι μόνο να φορτώνει επιπλέον εφαρμογές, αλλά να τις εγκαθιστά στο system partition. Αυτό μπορεί να έχει ως αποτέλεσμα να εισέλθει στη συσκευή ένα Trojan που δεν θα υπάρχει δυνατότητα να αφαιρεθεί, όπως το xHelper. Είμαστε στην ευχάριστη θέση να ενημερώσουμε την αγορά σχετικά με το ζήτημα, το οποίο οδήγησε σε μια διόρθωση για την έκδοση. Προτρέπουμε όλους τους χρήστες του APKPure να ενημερώσουν αμέσως την εφαρμογή στην έκδοση 3.17.19», σχολιάζει ο Igor Golovin, ειδικός ασφαλείας στην Kaspersky.
Η Kaspersky ανέφερε το ζήτημα στο marketplace στις 8 Απριλίου. Την επόμενη μέρα, η Kaspersky έλαβε ενημέρωση ότι το ζήτημα θα επιλυθεί στη νέα έκδοση. Η επιδιόρθωση έγινε στην έκδοση 3.17.19, η οποία είναι ήδη διαθέσιμη για λήψη.
Προκειμένου να παραμείνουν ασφαλείς, συνιστάται στους χρήστες του APKPure:
- Ενημερώστε αμέσως την εφαρμογή στην έκδοση 3.17.19.
- Σαρώστε το σύστημα για άλλα Trojan χρησιμοποιώντας μια αξιόπιστη λύση ασφάλειας, όπως το Kaspersky Internet Security για Android.
Για περισσότερες πληροφορίες επισκεφτείτε το Kaspersky Daily.
