le 9 avril 2021

Les analystes de Doctor Web ont détecté une fonctionnalité malveillante dans l’application client officielle du catalogue Android APKPure. Un Trojan embarqué dans le logiciel client télécharge et installe d’autres applications sans autorisation des utilisateurs, y compris des applications malveillantes.

APKPure est l'un des catalogues les plus anciens et les plus populaires de jeux et d'applications pour la plateforme Android, alternative au store officiel Google Play. L'analyse effectuée par nos experts a montré que le cheval de Troie est apparu dans le client APKPure en version 3.7.18 qui est la version en cours et qui est disponible sur le site officiel d’APKPure au moment de la publication de cette alerte. L'application possède une signature numérique valide des propriétaires du catalogue. Cela peut indiquer que le cheval de Troie a été inséré intentionnellement par des personnes non identifiées ou bien qu'il y a eu piratage et que les pirates ont eu accès aux ressources internes des développeurs de la boutique d'applications. La piste du piratage semble la plus probable, étayée par le fait qu’un cas similaire a été enregistré par le fabricant allemand d'équipements de télécommunications Gigaset. Selon lui, les pirates ont eu accès à l'un des serveurs de mises à jour de l'entreprise. Après cela, des Trojans liés à un code malveillant embarqué dans l'application APKPure se sont installés automatiquement sur certains modèles de Smartphones Gigaset.

Doctor Web a reçu les premières données sur la version malveillante du client APKPure le 25 mars 2021. Depuis ce jour, le code du Trojan a connu quelques modifications, mais sa fonctionnalité principale reste la même. La modification actuelle du programme malveillant est détectée par Dr.Web comme Android.Triada.4912.

Ce Trojan appartient à la famille Android.Triada - applications malveillantes dangereuses qui téléchargent, installent et suppriment des logiciels sans la permission des utilisateurs. Dans ce cas, le Trojan joue le rôle de la première étape de la contamination. Son code comporte, sous forme cryptée, l'autre représentant de la famille malveillante Android.Triada.566.origin, qui est capable d'effectuer les principales actions malveillantes. Une fois déchiffré et lancé, ce composant se met à télécharger différents sites web dans le navigateur installé par défaut. Il s'agit de sites avec du contenu publicitaire mais également de sites de phishing. De plus, il télécharge et exécute d'autres modules et différentes applications. Ainsi, les attaquants exploitant ces Trojans gagnent de l'argent sur le nombre d'installations et sur la publicité.

Doctor Web a alerté les proprétaires de la plateforme APKPure de la menace détectée. Il est recommandé aux propriétaires d'appareils Android, qui ont déjà installé l'application APKPure de la supprimer temporairement afin de se débarasser du Trojan. De plus, il faut utiliser avec prudence les autres catalogues d'applications Android.

Les produits antivirus Dr.Web pour Android détectent et éradiquent toutes les modifications connues des Trojans décrits ci-dessus qui ne représentent aucune menace pour nos utilisateurs.

L'examen des Trojans détectés se poursuit.