Вредоносный код в приложении APKPure

Недавно мы обнаружили вредоносный код в версии 3.17.18 официального клиента магазина приложений APKPure. Это приложение не представлено в Google Play, однако является достаточно популярным во всем мире магазином приложений. Скорее всего, повторилась история с CamScanner, когда разработчик внедрил новый рекламный SDK из непроверенного источника.

Мы сообщили разработчикам о заражении 8 апреля. В компании APKPure подтвердили наличие проблемы и оперативно выпустили версию 3.17.19, в которой она устранена.

Функциональность внедренного в APKPure вредоносного кода практически не отличается от обычной для такого рода угроз. При старте приложения расшифровывается и запускается полезная нагрузка. В данном случае она расположена в длинной строке в коде приложения.

Полезная нагрузка cобирает информацию об устройстве пользователя и отправляет на командный сервер.

В дальнейшем, в зависимости от полученного ответа, зловред может выполнять следующие действия:

• Показывать рекламу при разблокировке устройства.

  

• Периодически открывать браузер с рекламными страницами.

  

• Загружать дополнительные исполняемые модули.

  

В нашем случае был загружен троянец, имеющий много общего с известным зловредом Triada и обладающий обширными возможностями: от показа и прокликивания рекламы до оформления платных подписок и загрузки других вредоносов.

В зависимости от версии операционной системы этот троянец может нанести жертве разный ущерб. Пользователи APKPure с актуальными версиями Android рискуют столкнуться в основном с неведомо откуда взявшимися платными подписками и навязчивой рекламой. А вот пользователям телефонов, не получающих обновления безопасности, повезло меньше: в устаревших версиях ОС зловред способен не только загружать дополнительные приложения, но и устанавливать их в системный раздел. В результате на устройстве может появиться и такой неудаляемый троянец, как xHelper.

Решения «Лаборатории Касперского» детектируют вредоносный код, внедренный в APKPure, как HEUR:Trojan-Dropper.AndroidOS.Triada.ap.

Мы рекомендуем пользователям APKPure незамедлительно удалить зараженную версию приложения и установить «чистую» версию 3.17.19. Также стоит воспользоваться защитным решением, например Kaspersky Internet Security для Android, для проверки системы на наличие других троянов.

IOCs

APKPure app
2cfaedcf879c62f5a50b42cbb0a7a499
718aecd85e9f1219f3fc05ef156d3acf
ceac990b3df466c0d23e0b7f588d1407
deac06ab75be80339c034e266dddbc9f
f64d43c64b8a39313409db2c846b3ee9

Payload
31e49ac1902b415e6716bc3fb048f381

Downloaded malware
5f9085a5e5e17cb1f6e387a901e765cf

C&C
https://wcf.seven1029[.]com
http://foodin[.]site/UploadFiles/20210406052812.apk