APKPure, una de las tiendas de aplicaciones alternativas más grandes fuera de Google Play Store, se infectó con malware esta semana, lo que permitió a los actores de amenazas distribuir troyanos a dispositivos Android.

En un ataque a la cadena de suministro similar al del fabricante alemán de equipos de telecomunicaciones Gigaset, se dice que la versión 3.17.18 del cliente APKPure fue manipulada en un intento de engañar a los usuarios desprevenidos para que descarguen e instalen aplicaciones maliciosas vinculadas al código malicioso integrado en la aplicación APKpure.

El desarrollo fue informado por investigadores de Doctor Web y Kaspersky.

«Este troyano pertenece a la peligrosa familia de malware Android.Triada capaz de descargar, instalar y desinstalar software sin el permiso de los usuarios», dijeron los investigadores de Doctor Web.

Según Kaspersky, la versión 3.17.18 de APKPure se modificó para incorporar un SDK publicitario que actúa como un gotero troyano diseñado para enviar otro malware al dispositivo de la víctima. «Este componente puede hacer varias cosas: mostrar anuncios en la pantalla de bloqueo, abrir pestañas del navegador, recopilar información sobre el dispositivo y, lo más desagradable de todo, descargar otro malware», dijo Igor Golovin de Kaspersky.

En respuesta a los hallazgos, APKPure lanzó una nueva versión de la aplicación (versión 3.17.19) el 9 de abril que elimina el componente malicioso. «Se solucionó un posible problema de seguridad, haciendo que APKPure sea más seguro de usar», dijeron los desarrolladores detrás de la plataforma de distribución de aplicaciones en las notas de la versión.

El malware Joker se infiltra en la AppGallery de Huawei

APKPure no es el único centro de aplicaciones de Android de terceros que encuentra malware. A principios de esta semana, los investigadores de Doctor Web revelaron que encontraron 10 aplicaciones que estaban comprometidas con los troyanos Joker (o Bread) en AppGallery de Huawei, por lo que es la primera vez que se detecta malware en la tienda de aplicaciones oficial de la compañía.

Las aplicaciones señuelo, que tomaron la forma de un teclado virtual, una cámara y aplicaciones de mensajería de tres desarrolladores diferentes, venían con un código oculto para conectarse a un servidor de comando y control (C2) para descargar cargas útiles adicionales que eran responsables de suscribirse automáticamente. usuarios de dispositivos a servicios móviles premium sin su conocimiento.

Aunque desde entonces las listas de aplicaciones se han «ocultado» de la tienda AppGallery, los usuarios que instalaron previamente las aplicaciones continúan estando en riesgo hasta que se eliminen de sus teléfonos. La lista de aplicaciones de malware está a continuación:

• Súper teclado (com.nova.superkeyboard)
• Color feliz (com.colour.syuhgbvcff)
• Color divertido (com.funcolor.toucheffects)
• Nuevo teclado 2021 (com.newyear.onekeyboard)
• Cámara MX: cámara de vídeo con fotos (com.sdkfj.uhbnji.dsfeff)
• Cámara BeautyPlus (com.beautyplus.excetwa.camera)
• Color RollingIcon (com.hwcolor.jinbao.rollingicon)
• Funney Meme Emoji (com.meme.rouijhhkl)
• Tapping feliz (com.tap.tap.duedd)
• Mensajero todo en uno (com.messenger.sjdoifo)

Además, los investigadores dijeron que la misma carga de malware fue «utilizada por algunas otras versiones de Android.Joker, que se difundieron, entre otros lugares, en Google Play, por ejemplo, por aplicaciones como Shape Your Body Magical Pro, PIX Photo Motion Maker, y otros». Todas las aplicaciones se han eliminado de Play Store.