App store Android infetto

L’app store APKPure è stato infettato da un modulo dannoso che scarica Trojan sui dispositivi Android.

Raccomandiamo sempre di scaricare le app solo dagli store ufficiali, per ridurre le possibilità di installare malware. In ogni caso, gli store non ufficiali non solo possono ospitare app dannose, ma potrebbero anche non essere sicuri. A seguito di una recente indagine, siamo spiacenti di segnalare che APKPure, una popolare risorsa alternativa di applicazioni Android, è stata vittima di un Trojan e, a seguito di ciò, ne ha diffusi degli altri.

A cosa serve APKPure?

Lo store ufficiale di applicazioni Android è, naturalmente, Google Play. Tuttavia, è disponibile solo su dispositivi che utilizzano Google Mobile Services (GMS) e sono saldamente legati all’infrastruttura di Google. Alcuni vendor evitano le librerie GMS per restare indipendenti e, poiché Android è un sistema operativo aperto, possono farlo.

Per gli utenti ci sono sia vantaggi che svantaggi. Uno svantaggio importante è la perdita di accesso all’app store di Google, dove gli utenti Android possono scaricare le normali applicazioni.

È qui che entrano in gioco gli store alternativi e APKPure è uno di questi. In particolare, ospita solo applicazioni gratuite o shareware. Inoltre, i proprietari sottolineano che le applicazioni nello store sono state tutte analizzate da Google e sono completamente sicure, anzi, affermano che le loro applicazioni sono esattamente le stesse di quelle che si trovano su Google Play.

Cosa è successo ad APKPure?

Le app nello store possono aver superato tutti i test, ma l’app APKPure no. Questo incidente ricorda molto l’episodio di CamScanner, in cui gli sviluppatori dell’app avevano implementato un SDK pubblicitario da una fonte non verificata e che si è poi rivelato dannoso. Questo è anche il modo in cui un malware è riuscito ad accedere ad APKPure.

Sembra che la versione 3.17.18 di APKPure sia stata dotata di un SDK (Software Development Kit) pubblicitario simile, che conteneva un Trojan dropper e che le soluzioni Kaspersky rilevano come HEUR:Trojan-Dropper.AndroidOS.Triada.ap. Al suo avvio, il dropper estrae ed esegue il suo payload, che è la parte pericolosa. Questa componente può svolgere diverse attività dannose: mostrare annunci sulla schermata di blocco, aprire schede del browser, raccogliere informazioni sul dispositivo e, fra le più sgradevoli di tutte, scaricare altri malware.

Cosa può succedere a un dispositivo su cui è installato APKPure?

Il tipo di Trojan che viene scaricato (oltre a quello presente di per sé all’interno di APKPure) dipende dalla versione Android, così come da quanto regolarmente il vendor di smartphone abbia rilasciato (e l’utente abbia installato) gli aggiornamenti di sicurezza.

Se l’utente ha una versione relativamente recente del sistema operativo (Android 8 o superiore) che non concede i permessi di root a destra e a manca, allora vengono caricati i moduli aggiuntivi per il Trojan Triada. Questi moduli, tra le altre cose, possono acquistare abbonamenti premium e scaricare altri malware.

Se il dispositivo è più vecchio, utilizza Android 6 o 7 e senza aggiornamenti di sicurezza installati (o in alcuni casi nemmeno rilasciati dal vendor), sarebbe più facile effettuare il rooting e verrebbe scaricato il Trojan xHelper. Rimuovere questa bestia è una vera sfida, nemmeno riportare il dispositivo alle impostazioni di fabbrica basterebbe. Armato di accesso root, xHelper consente ai cybercriminali di fare quasi tutto quello che vogliono sul dispositivo.

APKPure è sicuro ora?

L’8 aprile abbiamo informato APKPure. Il 9 aprile, i rappresentanti di APKPure hanno risposto di aver già riscontrato il problema e che stavano lavorando alla correzione. Poco dopo, una nuova versione (3.17.19) è apparsa sul sito di APKPure. Secondo la descrizione, l’aggiornamento “ha risolto un potenziale problema di sicurezza, rendendo APKPure più sicuro per l’uso”.

Possiamo confermare che il problema è stato effettivamente risolto: APKPure 3.17.19 non contiene il componente dannoso. Ed è sicuro da usare.

Come difendersi dalla versione infetta di APKPure

Se non usate APKPure, allora non preoccupatevi, questo problema non vi riguarda. Ma per evitare situazioni simili in futuro:

  • Non scaricate mai app da fonti non ufficiali e bloccate l’installazione di app da terze parti nelle impostazioni di Android;
  • Utilizzate una soluzione di sicurezza affidabile in grado di analizzare automaticamente tutti i nuovi file;
  • Aggiornate regolarmente tutte le app e il sistema operativo.

Se usate APKPure, vi consigliamo anche quanto segue:

  • Aggiornate l’app APKPure alla versione in cui il problema è stato risolto (3.17.19 o più recente);
  • Eseguite una scansione antivirus completa del dispositivo.
Consigli