Geïnfecteerde app store voor Android

De app store APKPure is geïnfecteerd door een schadelijke module die trojans op Android-apparaten downloadt.

We raden altijd al aan om apps van officiële app stores te downloaden om het risico op het installeren van malware te beperken. Niet-officiële app stores kunnen niet alleen schadelijke apps herbergen, maar kunnen ook zelf onveilig zijn. Na een recent onderzoek moeten we helaas melden dat APKPure, een populaire alternatieve bron voor Android-apps, geïnfecteerd is door een trojan die op zijn beurt weer andere trojans verspreidt.

Waar dient APKPure voor?

De meest officiële van alle Android-app stores is natuurlijk Google Play. Maar die is alleen beschikbaar op apparaten die gebruikmaken van Google Mobile Services (GMS) en gebonden zijn aan de infrastructuur van Google. Sommige vendors vermijden GMS-bibliotheken om onafhankelijk te blijven, en omdat Android een open besturingssysteem is, kan dat ook.

Voor gebruikers zijn er zowel voor- als nadelen. Een belangrijk nadeel is het verlies van toegang tot Google’s app store, waar Android-gebruikers de gebruikelijke apps kunnen downloaden.

En dan zijn alternatieven handig, en APKPure is er daar een van. Het onderscheidende hiervan is dat er alleen gratis apps of shareware opstaan. Daarnaast benadrukken de eigenaars dat de apps in hun store allemaal gescand zijn door Google en volledig veilig zijn. Ze zeggen dat hun apps precies hetzelfde zijn als die op Google Play.

Wat is er met APKPure gebeurd?

De apps in de store zijn dan misschien wel voor alle veiligheidstest geslaagd, maar de APKPure-app zelf niet. Dit incident lijkt verdacht veel op het CamScanner-incident, waarbij de ontwikkelaars van de app een advertentie-SDK van een niet-geverifieerde bron implementeerden die later schadelijk bleek te zijn. Het kan goed zijn dat de malware zo APKPure is binnengekomen.

Het lijkt erop dat de APKPure-versie 3.17.18 ook was uitgerust met een advertentie-SDK met een ingebouwde Trojan dropper, die door Kaspersky-oplossingen worden gedetecteerd als HEUR:Trojan-Dropper.AndroidOS.Triada.ap. Eenmaal gestart, pakt hij zichzelf uit en runt hij een payload, wat het gevaarlijke gedeelte is. Deze component kan verschillende dingen doen: advertenties weergeven op een vergrendeld scherm; browsertabbladen openen; informatie over het apparaat verzamelen; en het gevaarlijkste: andere malware downloaden.

Wat kan er met een apparaat dat APKPure geïnstalleerd heeft gebeuren?

Welke trojan er gedownload wordt (naast de ingebouwde trojan van APKPure) hangt af van de Android-versie en hoe vaak de smartphone-verkoper beveiligingsupdates heeft uitgegeven — en hoe vaak de gebruiker die ook daadwerkelijk heeft geïnstalleerd.

Als de gebruiker een relatief recente versie van het besturingssysteem gebruikt, oftewel Android 8 of nieuwer, dat niet zomaar root-rechten weggeeft, dan laadt het de aanvullende modules voor de Triada Trojan. Deze modules kunnen onder andere premium abonnementen kopen en andere malware downloaden.

Als het apparaat ouder is en op Android 6 of 7 draait zonder dat er beveiligingsupdates zijn geïnstalleerd (die in sommige gevallen nog niet eens zijn uitgegeven door de vendor), is het rooten van het apparaat eenvoudiger en kan het gaan om de xHelper Trojan. Dit beest verwijderen is een flinke uitdaging, want zelfs het terugzetten naar de fabrieksinstellingen is niet voldoende. Gewapend met de root-rechten laat xHelper aanvallers bijna alles doen wat ze maar willen op het apparaat.

Is APKPure nu veilig?

Op 8 april hebben we APKPure van het probleem op de hoogte gesteld. Op 9 april reageerden vertegenwoordigers van APKPure dat ze het probleem zagen en bezig waren met een oplossing. Kort daarna verscheen er een nieuwe versie (3.17.19) op de APKPure-website. Volgens de beschrijving heeft de update “Een potentieel beveiligingsprobleem opgelost, waardoor APKPure veilig is om te gebruiken”.

Wij kunnen bevestigen dat het probleem inderdaad is verholpen: APKPure 3.17.19 bevat de schadelijke component niet meer en is dus veilig te gebruiken.

Hoe u zich beschermt tegen APKPure mét de trojan

Als u APKPure niet gebruikt, maakt u zich dan geen zorgen — het probleem van vandaag is dan niet op u van toepassing. Maar om vergelijkbare problemen in de toekomst te voorkomen:

  • Download nooit apps van niet-officiële bronnen en blokkeer de installatie van apps van derden in de Android-instellingen;
  • Gebruik een betrouwbare beveiligingsoplossing die alle nieuwe bestanden automatisch scant;
  • Update regelmatig alle apps en het besturingssysteem;

Als u APKPure wél gebruikt, raden we daarnaast het volgende aan:

  • Update de APKPure-app naar de versie waarin het probleem is opgelost (3.17.19 of nieuwer);
  • Draai een volledige antivirusscan op uw apparaat.

Tips