Baden-Baden, 9. April 2021

Die Virenanalysten von Doctor Web entdeckten bösartige Funktionen in einer offiziellen Client-Anwendung des beliebten Android-App-Katalogs APKPure. Beim Malwarefund geht es um einen eingebetteten Trojaner, der Apps ohne Erlaubnis des Benutzers herunterlädt und installiert. Unter den Apps sind auch schädliche Apps zu finden.

APKPure ist einer der ältesten und beliebtesten Kataloge von Drittanbietern mit Spielen und Apps für die Android-Plattform. Den Katalog nutzen einige Besitzer von Android-Geräten als Alternative zum offiziellen Google Play Store. Unsere Analyse ergab, dass der Trojaner im APKPure-Client in der Version 3.17.18 auftauchte, die zum Zeitpunkt dieser Meldung auf dem neuesten Stand war und über die offizielle Website verbreitet wurde. Die App hat eine gültige digitale Signatur der Katalog-Eigentümer. Dies könnte darauf hinweisen, dass der Trojaner von nicht identifizierten Insidern absichtlich eingebettet wurde oder ein Hack stattgefunden hat. Angreifer haben also Zugriff auf die internen Ressourcen der App-Store-Entwickler erlangt. Für einen wahrscheinlichen Hack spricht die Tatsache, dass ein ähnlicher Fall beim deutschen Telekommunikationsgerätehersteller Gigaset aufgetreten ist. Demzufolge verschafften sich die Angreifer Zugang zu einem der Update-Server des Unternehmens. Danach begannen einige Android-Smartphone-Modelle von Gigaset automatisch mit dem Download und der Installation von Trojanern, die mit einem in der APKpure-App eingebetteten Schadcode verbunden sind.

Wir erhielten am 25. März die ersten Daten über die bösartige Version des APKPure-Clients. Seitdem hat der Code des Trojaners einige Änderungen erfahren, aber seine Hauptfunktionalität ist gleichgeblieben. Die aktuelle Modifikation des schädlichen Programms wird von Dr.Web als Android.Triada.4912 erkannt.

Der Trojaner gehört zur Android.Triada-Familie gefährlicher schädlicher Anwendungen, die Software ohne Erlaubnis des Benutzers herunterladen, installieren und deinstallieren. In diesem Fall ist er die erste Stufe der Infektion. Hinter dem verschlüsselten Code verbirgt sich ein weiterer - Android.Triada.566.origin, der die wichtigsten bösartigen Funktionen ausführt. Sobald diese Komponente entschlüsselt und gestartet wurde, beginnt sie mit dem Laden verschiedener Websites im Standardbrowser. Dabei kann es sich sowohl um Seiten mit Werbeinhalten als auch um Phishing handeln. Er lädt auch andere Module und verschiedene Apps herunter und startet diese. Auf diese Weise verdienen die Angreifer Geld, indem sie die Anzahl der Installationen und Werbeanzeigen aufblähen.

Doctor Web hat die Besitzer von APKPure über diese Bedrohung informiert. Besitzern von Android-Geräten, die die APKPure-App installiert haben, wird empfohlen, diese vorübergehend zu deinstallieren, um den Trojaner loszuwerden. Außerdem sollten alle anderen inoffiziellen Android-Kataloge mit Vorsicht verwendet werden.

Die Dr.Web Apps für Android erkennen und entfernen erfolgreich die bekannten Versionen der Trojaner. Für unsere Nutzer stellen sie deshalb keine Gefahr dar.

Die Analyse der Trojaner läuft weiter. Wir halten Sie auf dem Laufenden.

Ihr Android-Gerät braucht einen Malwareschutz.

Nutzen Sie Dr.Web

• Eine der ersten Malwareschutz-Apps für Android weltweit
• Über 140 Mio Downloads – nur auf Google Play
• Kostenlos für Nutzer von Dr.Web Produkten für Heimanwender

KOSTENLOS HERUNTERLADEN