Kaspersky ha protetto oltre 9.000 utenti del marketplace APKPure da un attacco malware

A giugno, l’Italia di nuovo sotto assedio dal malware Trickbot

Gli esperti di Kaspersky hanno rilevato un codice dannoso nella versione 3.17.18 per il client ufficiale dell’app store APKPure. Ad oggi, la minaccia è stata rilevata e bloccata dai prodotti Kaspersky sui dispositivi di 9.380 utenti.

Secondo i ricercatori il codice è stato rilevato nell’advertising library dell’applicazione, dove molto probabilmente è stato inserito in seguito ad una partnership degli sviluppatori dell’app con l’inserzionista responsabile degli attacchi. La vicenda presenta dei tratti in comune con il caso CamScanner, dove era stato implementato un nuovo SDK (software development kit) pubblicitario da una fonte non verificata.

Il codice dannoso identificato in APKPure opera nel seguente modo: al lancio dell’applicazione, il payload viene decriptato e eseguito per raccogliere informazioni sul dispositivo dell’utente e inviarle al server C&C. Alla fine di queste operazioni, viene scaricato sul device un Trojan con delle caratteristiche simili a quelle del famigerato malware Triada, in grado di eseguire una serie di azioni specifiche come visualizzare e cliccare sugli annunci, sottoscrivere abbonamenti a pagamento o fare il download di altri malware.

A seconda della risposta ricevuta, il malware può:

  • Visualizzare annunci quando il dispositivo è sbloccato
  • Aprire ripetutamente pagine del browser con inserzioni pubblicitarie
  • Caricare moduli aggiuntivi eseguibili

“A seconda della versione del sistema operativo, il Trojan può attaccare la vittima in diversi modi. Gli utenti di APKPure che utilizzano le versioni di Android più recenti corrono il rischio di essere iscritti a servizi in abbonamento a pagamento e di visualizzare annunci intrusivi. Nel caso di smartphone che dispongono di versioni obsolete del sistema operativo e per cui non sono più previsti aggiornamenti di sicurezza, il malware è in grado non solo di scaricare app aggiuntive, ma di installarle nella partizione di sistema. Questo potrebbe consentire l’installazione sul dispositivo di un trojan non rimovibile come xHelper. A seguito della nostra segnalazione, il marketplace ha rilasciato una nuova versione corretta dell’applicazione. Invitiamo tutti gli utenti di APKPure ad aggiornare l’applicazione alla versione 3.17.19”, ha dichiarato Igor Golovin, esperto di sicurezza di Kaspersky.

Leggi anche:  Fortinet annuncia le prime appliance Secure SD-WAN per ambienti OT

Le soluzioni di Kaspersky rilevano il software malevolo come HEUR:Trojan-Dropper.AndroidOS.Triada.ap.

In data 8 aprile, Kaspersky ha segnalato la criticità al marketplace, che ha successivamente rilasciato la nuova versione corretta 3.17.19, già disponibile per il download.

Kaspersky raccomanda agli utenti di APKPure di:

  • Aggiornare immediatamente l’applicazione alla versione 3.17.19
  • Scansionare il sistema per rilevare eventuali trojan utilizzando una soluzione di sicurezza affidabile, come Kaspersky Internet Security for Android