Специалисты по кибербезопасности компании «Доктор Веб» обнаружили вирус в официальном клиенте популярного каталога Android-приложений APKPure. Он без ведома и разрешения пользователей загружает и устанавливает на устройство различные программы, в том числе и вредоносные.
Троян был выявлен в APKPure версии 3.17.18, распространяемой через официальный сайт сервиса. Указывается, что скомпрометированное приложение подписано действительной цифровой подписью владельцев каталога. По словам экспертов, это указывает на то, что троян был либо встроен неустановленными инсайдерами намеренно, либо произошёл взлом, в результате чего злоумышленники получили доступ к внутренним ресурсам разработчиков каталога. На второе указывает тот факт, что с аналогичным случаем столкнулся немецкий производитель смартфонов Gigaset, к серверу обновлений которого получили доступ злоумышленники. В результате на некоторые Android-смартфоны компании «прилетели» троянские программы, связанные со встроенным в APKpure вредоносным кодом.
Интересно, что после первоначального обнаружения в клиенте APKPure трояна 25 марта вредоносный код претерпел некоторые изменения. При этом его основная функциональность осталась прежней, а нынешняя версия вируса определяется антивирусом Dr.Web как Android.Triada.4912.
По словам специалистов «Доктор Веб», троян семейства Android.Triada выступает в роли первой ступени заражения. В его код встроен другой вирус Android.Triada.566.origin, который и выполняет основные вредоносные функции. Он способен загружать разные рекламные и фишинговые веб-сайты в браузере, установленном по умолчанию. Кроме того, вирус скачивает другие модули и разнообразные приложения. Таким образом злоумышленники зарабатывают на накрутке числа установок и рекламе.
Пользователям APKPure рекомендуется удалить приложение со своих устройств, пока разработчики не «почистят» его от встроенного вируса.