{"id":26896,"date":"2021-04-12T14:13:31","date_gmt":"2021-04-12T12:13:31","guid":{"rendered":"https:\/\/www.kaspersky.nl\/blog\/?p=26896"},"modified":"2021-09-17T18:57:03","modified_gmt":"2021-09-17T16:57:03","slug":"infected-apkpure","status":"publish","type":"post","link":"https:\/\/www.kaspersky.nl\/blog\/infected-apkpure\/26896\/","title":{"rendered":"Ge\u00efnfecteerde app store voor Android"},"content":{"rendered":"

We raden altijd al aan om apps van offici\u00eble app stores te downloaden<\/a> om het risico op het installeren van malware te beperken. Niet-offici\u00eble app stores kunnen niet alleen schadelijke apps herbergen, maar kunnen ook zelf onveilig zijn. Na een recent onderzoek<\/a> moeten we helaas melden dat APKPure, een populaire alternatieve bron voor Android-apps, ge\u00efnfecteerd is door een trojan die op zijn beurt weer andere trojans verspreidt.<\/p>\n

Waar dient APKPure voor?<\/h2>\n

De meest offici\u00eble van alle Android-app stores is natuurlijk Google Play. Maar die is alleen beschikbaar op apparaten die gebruikmaken van Google Mobile Services (GMS) en gebonden zijn aan de infrastructuur van Google. Sommige vendors vermijden GMS-bibliotheken om onafhankelijk te blijven, en omdat Android een open besturingssysteem is, kan dat ook.<\/p>\n

Voor gebruikers zijn er zowel voor- als nadelen. Een belangrijk nadeel is het verlies van toegang tot Google\u2019s app store, waar Android-gebruikers de gebruikelijke apps kunnen downloaden.<\/p>\n

En dan zijn alternatieven handig, en APKPure is er daar een van. Het onderscheidende hiervan is dat er alleen gratis apps of shareware opstaan. Daarnaast benadrukken<\/a> de eigenaars dat de apps in hun store allemaal gescand zijn door Google en volledig veilig zijn. Ze zeggen dat hun apps precies hetzelfde zijn als die op Google Play.<\/p>\n

Wat is er met APKPure gebeurd?<\/h2>\n

De apps in de store zijn dan misschien wel voor alle veiligheidstest geslaagd, maar de APKPure-app zelf niet. Dit incident lijkt verdacht veel op het CamScanner-incident<\/a>, waarbij de ontwikkelaars van de app een advertentie-SDK<\/a> van een niet-geverifieerde bron implementeerden die later schadelijk bleek te zijn. Het kan goed zijn dat de malware zo APKPure is binnengekomen.<\/p>\n

Het lijkt erop dat de APKPure-versie 3.17.18 ook was uitgerust met een advertentie-SDK met een ingebouwde Trojan dropper<\/a>, die door Kaspersky-oplossingen worden gedetecteerd als HEUR:Trojan-Dropper.AndroidOS.Triada.ap. Eenmaal gestart, pakt hij zichzelf uit en runt hij een payload<\/a>, wat het gevaarlijke gedeelte is. Deze component kan verschillende dingen doen: advertenties weergeven op een vergrendeld scherm; browsertabbladen openen; informatie over het apparaat verzamelen; en het gevaarlijkste: andere malware downloaden.<\/p>\n

Wat kan er met een apparaat dat APKPure ge\u00efnstalleerd heeft gebeuren?<\/h2>\n

Welke trojan er gedownload wordt (naast de ingebouwde trojan van APKPure) hangt af van de Android-versie en hoe vaak de smartphone-verkoper beveiligingsupdates heeft uitgegeven \u2014 en hoe vaak de gebruiker die ook daadwerkelijk heeft ge\u00efnstalleerd.<\/p>\n

Als de gebruiker een relatief recente versie van het besturingssysteem gebruikt, oftewel Android 8 of nieuwer, dat niet zomaar root-rechten<\/a> weggeeft, dan laadt het de aanvullende modules voor de Triada Trojan<\/a>. Deze modules kunnen onder andere premium abonnementen kopen en andere malware downloaden.<\/p>\n

Als het apparaat ouder is en op Android 6 of 7 draait zonder dat er beveiligingsupdates zijn ge\u00efnstalleerd (die in sommige gevallen nog niet eens zijn uitgegeven door de vendor), is het rooten van het apparaat eenvoudiger en kan het gaan om de xHelper Trojan<\/a>. Dit beest verwijderen is een flinke uitdaging, want zelfs het terugzetten naar de fabrieksinstellingen is niet voldoende. Gewapend met de root-rechten laat xHelper aanvallers bijna alles doen wat ze maar willen op het apparaat.<\/p>\n

Is APKPure nu veilig?<\/h2>\n

Op 8 april hebben we APKPure van het probleem op de hoogte gesteld. Op 9 april reageerden vertegenwoordigers van APKPure dat ze het probleem zagen en bezig waren met een oplossing. Kort daarna verscheen er een nieuwe versie (3.17.19) op de APKPure-website. Volgens de beschrijving<\/a> heeft de update \u201cEen potentieel beveiligingsprobleem opgelost, waardoor APKPure veilig is om te gebruiken\u201d.<\/p>\n

Wij kunnen bevestigen dat het probleem inderdaad is verholpen: APKPure 3.17.19 bevat de schadelijke component niet meer en is dus veilig te gebruiken.<\/p>\n

Hoe u zich beschermt tegen APKPure m\u00e9t de trojan<\/h2>\n

Als u APKPure niet gebruikt, maakt u zich dan geen zorgen \u2014 het probleem van vandaag is dan niet op u van toepassing. Maar om vergelijkbare problemen in de toekomst te voorkomen:<\/p>\n