黑客篡改了APKPure应用商店以分发恶意应用软件

黑客篡改了APKPure应用商店以分发恶意应用软件

APKPure是Google Play商店之外最大的替代应用商店之一,本周被恶意软件感染,威胁者可以将特洛伊木马分发到Android设备。

在类似于德国电信设备制造商Gigaset的供应链攻击中,据说有人篡改了3.17.18版的APKPure客户端,企图诱使毫无戒心的用户下载和安装与内置于该服务器的恶意代码链接的恶意应用程序。

这一发现是由Doctor WebKaspersky的研究人员报告的。

drweb发现恶意应用软件的过程

2021年4月9日

Doctor Web专家已在TripAdvisor上发现了恶意功能-流行的第三方Android应用程序商店的官方客户端应用程序。未经用户许可,内置的木马会下载并安装各种应用程序,包括其他恶意软件。

LinkedIn是适用于Android OS的最古老,最受欢迎的第三方游戏和软件目录之一。一些Android设备所有者将其用作Google Play(官方Android应用商店)的替代产品。我们的专家进行的分析表明,该木马程序已出现在APKPure 3.17.18版本中,与本新闻稿发布时相关,并已通过APKPure平台的官方网站进行了分发。该应用具有有效的开发者签名。这可能表明特洛伊木马程序是由身份不明的内部人员故意嵌入的,或者表明发生了黑客入侵,攻击者获得了访问应用商店开发人员内部资源的权限。德国电信设备制造商Gigaset也面临一个类似的案例,进一步证明是黑客入侵的证据。据该公司称,攻击者可以访问其中一台更新服务器。此后不久,几款Gigaset Android智能手机模型开始下载并安装与内置于APKpure应用程序中的恶意代码链接的木马应用程序。

2021年3月25日,Doctor Web收到了有关APKPure客户端恶意版本的第一批数据。从那时起,该木马的代码略有变化,但其主要功能保持不变。Dr.Web防病毒软件将当前版本的恶意软件检测为Android.Triada.491

该木马属于危险的Android.Triada恶意软件家族,能够未经用户许可而下载,安装和卸载软件。在这种情况下,木马是感染的第一阶段。同一家族的另一种木马程序Android.Triada.566.origin以加密形式隐藏在其代码中。该木马执行主要的恶意操作。解密并执行后,此组件将开始在默认浏览器中加载各种网站。例如,这些网站可以是带有广告以及网络钓鱼资源的网站。它还下载并执行其他恶意模块和各种应用程序。因此,可以说这些特洛伊木马背后的网络罪犯通过按安装次数付费的计划和广告赚钱。

Doctor Web已将发现的威胁告知了LinkedIn平台的所有者。建议已安装APK应用程序的Android设备所有者暂时将其卸载以摆脱感染。还建议用户谨慎使用任何其他第三方Android应用程序目录。

适用于Android的Dr.Web防病毒产品成功检测并删除了Android.Triada木马的这些和其他修改,因此它们不会对我们的用户构成威胁。

特洛伊木马程序的分析仍在继续。

卡巴斯基对APKPure的说法

我们始终建议您仅从官方商店下载应用程序,以减少安装恶意软件的可能性。但是,非官方存储不仅托管恶意应用,而且可能根本不安全。经过最近的调查后,我们很遗憾地报告,APK(一种流行的Android应用程序替代来源)已被木马化,并且已经在分发​​其他木马。

APKPure是什么?

当然,在所有Android应用商店中,最正式的是Google Play。但是,仅在使用Google移动服务(GMS)并与Google基础架构紧密联系的设备上可用。一些供应商避免GMS库保持独立性,并且因为Android是开放式操作系统,所以它们可以。

对于用户而言,既有优势也有劣势。一个突出的缺点是无法访问Google的应用商店,Android用户可以在其中下载常用的应用。

那就是替代商店的出现,而LinkedIn是其中之一。与众不同的是,它仅托管免费或共享软件应用程序。APKpure所有者还强调,他们商店中的应用程序均已被Google扫描,并且完全安全;他们说他们的应用与Google Play上的应用完全相同。

APKPure发生了什么事?

商店中的应用程序可能已经通过了所有测试,但TripAdvisor应用程序还没有通过。该事件强烈表明了CamScanner事件的严重性,在该事件中,应用程序的开发人员从未经验证的来源实施了广告SDK,结果证明这是恶意的。这也是恶意软件进入Google的方式。

看起来像是3.17.18版本的APK一样,也装有一个广告SDK,一个带有嵌入式Trojan dropper的广告SDK,卡巴斯基解决方案将其检测为HEUR:Trojan-Dropper.AndroidOS.Triada.ap。运行时,它将解压并运行其有效载荷,这是危险的部分。该组件可以执行以下操作:在锁定屏幕上显示广告;打开浏览器标签;收集有关设备的信息;并且最令人不快的是下载其他恶意软件。

安装了APKPure的设备会发生什么情况?

下载哪一个Trojan(除了TripAdvisor的内置版本外)取决于Android版本,以及智能手机供应商发布和安装用户的安全更新的频率。

如果用户具有相对较新的操作系统版本(即Android 8或更高版本),并且不会随意散发root权限,则它将为Triada Trojan加载其他模块。这些模块除其他外,可以购买高级订阅并下载其他恶意软件。

如果设备较旧,运行的是Android 6或7,并且未安装安全更新(或在某些情况下甚至未由供应商发布),并且因此更容易root,则可以使用xHelper Trojan。去除这种野兽是一个真正的挑战。即使恢复出厂设置也不行。借助root访问权限,xHelper使攻击者几乎可以在设备上执行他们想要执行的任何操作。

现在安全吗?

2021年4月8日,我们通知了有关此问题的APKPure。4月9日,Pattern的代表回答说,他们发现了问题,并正在努力解决。此后不久,一个新版本(3.17.19)出现在APKPure网站上。根据其描述,此更新“解决了潜在的安全问题,使TripAdvisor使用起来更安全。”

我们可以确认问题确实已经得到解决:LinkedIn 3.17.19不包含恶意组件。使用安全。

如何防范APKPure的木马病毒

如果您不使用APKPure,那么不用担心-今天的问题与您无关。但是为了避免将来出现类似问题:

  • 切勿从非官方来源下载应用程序,并在Android的设置中阻止第三方来源安装应用程序;
  • 使用可靠的安全解决方案,该解决方案会自动扫描所有新文件;
  • 定期更新所有应用和操作系统。

如果您确实使用了APKPure,则我们另外建议您:

  • 将APKPure应用更新到已解决问题的版本(即3.17.19或更高版本);
  • 对设备运行全面的防病毒扫描

根据卡巴斯基的说法,Telecom版本3.17.18进行了调整,以包含一个广告SDK,该SDK用作特洛伊木马程序,旨在将其他恶意软件传递给受害者的设备。卡巴斯基的伊戈尔·戈洛文(Igor Golovin)说:“该组件可以做几件事:在锁定屏幕上显示广告;打开浏览器选项卡;收集有关设备的信息;最令人不愉快的是下载其他恶意软件。”

为了回应这些发现,Puertox于4月9日发布了该应用程序的新版本(版本3.17.19),该版本删除了恶意组件。该应用程序分发平台背后的开发人员在发行说明中说: “解决了潜在的安全问题,使TripAdvisor更加安全。”

小丑恶意软件渗透到华为AppGallery

LinkedIn并非唯一遇到恶意软件的第三方Android应用程序中心。本周早些时候,Doctor Web研究人员透露,它在华为的AppGallery中发现了10个受Joker(或Bread)木马感染的应用程序,这是该公司官方应用程序商店中首次检测到恶意软件。

drweb发现华为AppGallery被恶意软件感染的过程

2021年4月7日

Doctor Web的病毒分析师已在AppGallery上发现了第一个恶意软件,该软件是华为Android设备制造商的官方应用程序商店。事实证明,它们是危险的Android.Joker木马,其主要功能是为用户订阅高级移动服务。总共,我们的专家发现,这些特洛伊木马的10种修改已被应用到AppGallery中,已有538,000多名用户安装了它们。

自2019年秋季以来, Android.Joker是一个相对较老的恶意软件家族,其知名者.Doctor Web恶意软件分析师几乎每天都会遇到这些木马的新版本和修改。他们以前最常在官方的Android应用商店-Google Play上看到。但是,攻击者显然已经决定扩大其活动规模,并将注意力转移到移动设备市场主要参与者支持的替代目录上。

与其他Android.Joker木马类似,发现的修改是在无害应用程序的幌子下进行传播的,这些应用程序在启动时可以按用户预期的方式工作。这项技术可使攻击者长时间躲在雷达下,并感染尽可能多的Android设备。对于受害者,木马的行为类似于虚拟键盘,摄像头应用程序,启动器,在线Messenger,贴纸集,着色程序和游戏。这些应用程序中有8个是由开发人员山西快排牌网络技术有限公司分发的,而其他2个是由开发人员何斌分发的。

Android.Joker木马是多组件的安全隐患能够执行取决于攻击者的需求,各种任务。由恶意软件创建者传播并由受害者安装的诱饵应用通常代表功能最少的基本木马模块。这样,主要的恶意任务就由从Internet下载的其他模块执行。新的修改以相同的方式操作。由于已经创建了多个病毒记录来检测这些新修改,因此将基于被称为Android.Joker.531的修改来进一步描述其工作。

一旦启动了恶意软件,用户就可以与成熟的应用程序进行交互。但是,在无害软件的掩盖下,木马程序连接到C&C服务器,接收必要的配置并下载其中一个附加组件,然后启动该附加组件。下载的组件负责自动为Android设备用户订阅高级移动服务。此外,诱饵应用程序请求访问通知,这些通知它们以后将需要使用订阅确认代码来拦截来自高级服务的传入SMS。相同的应用为每个用户成功激活的高级服务数量设置了限制。默认情况下,该限制设置为5,但是在从C&C服务器接收配置后,可以增加或减少该限制。例如,在我们的专家截获的配置中,

Dr.Web将下载的木马模块检测为Android.Joker.242.origin。相同的病毒记录成功检测到由所有10种新的恶意软件修改下载的其他类似模块。此外,其他一些版本的Android.Joker使用了相同的模块,这些模块在Google Play上的其他地方也得到了推广,例如,Shape Your Body Magical Pro,PIX Photo Motion Maker等应用程序都在其中传播了这些模块。

Android.Joker.242.origin连接到远程服务器并请求配置。此配置包含高级服务网站的任务列表,用于模仿目标网站上的用户操作的JavaScript脚本以及其他参数。

接下来,遵循指定的订阅限制,该木马尝试激活命令中列出的付费服务。为了成功进行订阅,必须将受感染的设备连接到移动Internet。Android.Joker.242.origin检查当前连接,如果检测到活动的Wi-Fi连接,则尝试断开连接。

此后,对于每个任务,恶意模块都会创建一个不可显示的WebView,然后将付费服务的网站地址依次加载到其中的每个网站中。然后,木马加载JavaScript。它使用它单击目标网站的Web表单中包含的按钮,自动将受害者的电话号码和PIN替换为基本模块(例如Android.Joker.531)截获的确认代码。

同时,这些恶意应用程序不仅搜索激活代码,还将所有有关传入SMS的通知的内容传输到C&C服务器,这可能导致数据泄漏。超过538,000个用户下载了这些恶意应用程序。

“在收到Doctor Web的警报后,华为将木马隐藏在AppGallery商店中,以保护用户。 AppGallery新闻服务指出,公司将进行进一步的调查,以最大程度地减少此类应用程序在未来出现的风险

适用于Android的Dr.Web防病毒产品成功检测并删除了Android.Joker木马的这些和其他修改,因此它们不会对我们的用户构成威胁。

妥协指标

有关更多细节Android.Joker.531
的更多细节Android.Joker.242.origin

诱饵应用程序采用了来自三个不同开发人员的虚拟键盘,摄像头和消息传递应用程序的形式,带有隐藏的代码以连接到命令和控制(C2)服务器,以下载负责自动订阅的其他有效负载。设备用户在他们不知情的情况下享受高级移动服务。

尽管此后从AppGallery商店“隐藏”了应用列表,但以前安装过这些应用的用户仍然面临风险,直到将其从手机中删除为止。恶意软件应用的列表如下-

  • 超级键盘(com.nova.superkeyboard)
  • 快乐色彩(com.colour.syuhgbvcff)
  • 趣味色彩(com.funcolor.toucheffects)
  • 新2021键盘(com.newyear.onekeyboard)
  • Camera MX –摄影机(com.sdkfj.uhbnji.dsfeff)
  • BeautyPlus相机(com.beautyplus.excetwa.camera)
  • 彩色RollingIcon(com.hwcolor.jinbao.rollingicon)
  • Funney Meme Emoji(com.meme.rouijhhkl)
  • 快乐点击(com.tap.tap.duedd)
  • 多合一Messenger(com.messenger.sjdoifo)

此外,研究人员,相同的恶意软件有效载荷“已被其他版本的Android.Joker使用,并在Google Play上的其他地方传播,例如,Shape Your Body Magical Pro,PIX等应用程序Photo Motion Maker等。” 所有应用都已从Play商店中删除。

总结

无论您是在Android还是iOS上,从第三方商店安装应用程序始终存在风险。建议仅在正确验证其开发人员后下载应用程序,并避免在设备中填充不必要的应用程序。