APKPure 是一个知名的第三方 Android 应用商店,也是很多人选择用于替代 Google 官方 Play Store 的首选。熟悉 Android 的用户,或多或少都曾安装过来自 APKPure 商店里的应用,APKPure 托管了众多应用和游戏。许多受限于网络条件的国内用户也都会使用 APKPure 下载应用。日前安全研究人员发现,APKPure 的应用中嵌入了恶意软件。
卡巴斯基和 Dr.Web 的恶意软件分析师发现,该恶意软件被嵌入到 APKPure 3.7.18 版本所包含的广告 SDK 中。
正如他们发现的那样,它看起来像是卡巴斯基在 2016 年首次发现的 Triada 木马的变种,能够向受感染设备的用户发送广告,并传递额外的恶意软件。
卡巴斯基表示:"已识别的嵌入 APKPure 的恶意代码以如下方式运行:在启动应用程序时,有效载荷被解密并启动,之后将会收集用户设备的信息,并将这些信息发送到 C&C 服务器。之后,恶意代码会加载一个木马程序,它与臭名昭著的 Triada 恶意软件有很多共同之处,因为它可以执行一系列操作 —— 从显示和自动点击广告到注册付费订阅和下载其他恶意软件。"
接下来,根据其操作者的指示和货币化方案(广告或按安装付费),它将:
- Android 设备每次解锁时,都会显示广告;
- 反复打开含有广告的网页;
- 自动点击广告,注册付费订阅;
- 在未经用户同意的情况下安装其他有效载荷或潜在的恶意软件。
该木马造成的损害根据被入侵设备上运行的 Android 系统版本的不同而不同,从被注册付费订阅、看到侵入广告,到在系统分区上部署了像 xHelper 这样不可移除的恶意软件。
虽然没有 APKPure 应用的官方下载统计,但卡巴斯基表示,到目前为止,已经在 9380 名运行其安全解决方案的 Android 设备上屏蔽了该恶意软件。
卡巴斯基和 Dr.Web 在发现问题后,第一时间即把详情反馈给了 APKPure 的开发商,目前 APKPure 已经发布了没有恶意代码的 3.17.19 版本。如果我们的读者也在自己的 Android 设备商安装了 APKPure,则建议大家立即升级至最新版本。
本文地址:https://www.oschina.net/news/136990/android-malware-found-in-apkpure-store