9 de abril de 2021

Los expertos de la empresa Doctor Web detectaron una funcionalidad maliciosa en la aplicación cliente oficial del catálogo tercero popular de aplicaciones en Android APKPure. El troyano incrustado en el mismo descarga e instala varios tipos de software sin autorización de usuarios, así mismo, otro malware.

APKPure — es uno de los catálogos terceros más antiguos y populares de juegos y software para la plataforma Android, usado por algunos titulares de dispositivos en Android como alternativa a la tienda oficial Google Play. El análisis realizado por nuestros expertos demostró que el troyano apareció en el cliente APKPure de versión 3.17.18, actual en el momento de publicación de esta noticia y difundida a través del sitio web oficial de la plataforma. La aplicación está firmada con la firma digital válida de los titulares del catálogo. Esto puede indicar que el troyano ha sido incrustado a propósito por los insiders no detectados, o que se ha producido un hackeo y los malintencionados accedieron a los recursos internos de los desarrolladores de la tienda de aplicaciones. Un problema similar sufrido por un productor alemán del equipamiento de telecomunicaciones Gigaset confirma que, posiblemente, ha sido un hackeo. Según el mismo, los malintencionados accedieron a uno de los servidores de actualizaciones de la empresa. Posteriormente, en algunos modelos de smartphones en Android de Gigaset de forma automática se descargaron y se instalaron los programas troyanos vinculados al código malicioso incrustado en la aplicación APKpure.

Nuestra empres recibió los primeros datos sobre la versión maliciosa del cliente APKPure el 25 de marzo. Desde aquel entonces, el código del troyano sufrió algunos cambios, pero su funcionalidad básica sigue siendo la misma. La modificación actual del malware se detecta por el antivirus Dr.Web como Android.Triada.4912.

El troyano pertenece a la familia de Android.Triada — un tipo de malware que descarga, instala y elimina el software sin autorización de usuarios. En este caso, sirve de primer eslabón de la infección. Su código contiene otro representante de esta familia oculto y cifrado, Android.Triada.566.origin, que realiza las funciones maliciosas básicas. Una vez descifrado e iniciado, este componente empieza a abrir varios sitios web en el navegador instalado de forma predeterminada. Pueden ser tanto los sitios web con contenido de publicidad como phishing. Además, el mismo descarga e inicia otros módulos y varias aplicaciones. De esta forma, los malintencionados que tienen que ver con estos troyanos ganan dinero al falsificar el número de instalaciones y con publicidad.

La empresa Doctor Web notificó a los dueños de la plataforma APKPure sobre la amenaza detectada. A los titulares de dispositivos en Android que instalaron la aplicación APKPure, les recomendamos desinstalarlo temporalmente para deshacerse del troyano. Además, se recomienda usar con prudencia cualquier otro catálogo no oficial de programas en Android.

Los productos antivirus Dr.Web para Android detectan correctamente y eliminan las versiones conocidas de los troyanos indicados que, por lo tanto, no amenazan a nuestros usuarios.

Seguimos analizando los troyanos.

Su Android necesita protección.

Use Dr.Web

• Primer antivirus ruso para Android
• Más de 140 millones de descargas solo desde Google Play
• Gratis para usuarios de productos de hogar Dr.Web

Descargar gratis