{"id":24344,"date":"2021-04-12T12:57:54","date_gmt":"2021-04-12T10:57:54","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=24344"},"modified":"2021-09-17T18:48:13","modified_gmt":"2021-09-17T16:48:13","slug":"infected-apkpure","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/infected-apkpure\/24344\/","title":{"rendered":"App store Android infetto"},"content":{"rendered":"

Raccomandiamo sempre di scaricare le app solo dagli store ufficiali<\/a>, per ridurre le possibilit\u00e0 di installare malware. In ogni caso, gli store non ufficiali non solo possono ospitare app dannose, ma potrebbero anche non essere sicuri. A seguito di una recente indagine<\/a>, siamo spiacenti di segnalare che APKPure, una popolare risorsa alternativa di applicazioni Android, \u00e8 stata vittima di un Trojan e, a seguito di ci\u00f2, ne ha diffusi degli altri.<\/p>\n

A cosa serve APKPure?<\/h2>\n

Lo store ufficiale di applicazioni Android \u00e8, naturalmente, Google Play. Tuttavia, \u00e8 disponibile solo su dispositivi che utilizzano Google Mobile Services (GMS) e sono saldamente legati all\u2019infrastruttura di Google. Alcuni vendor evitano le librerie GMS per restare indipendenti e, poich\u00e9 Android \u00e8 un sistema operativo aperto, possono farlo.<\/p>\n

Per gli utenti ci sono sia vantaggi che svantaggi. Uno svantaggio importante \u00e8 la perdita di accesso all\u2019app store di Google, dove gli utenti Android possono scaricare le normali applicazioni.<\/p>\n

\u00c8 qui che entrano in gioco gli store alternativi e APKPure \u00e8 uno di questi. In particolare, ospita solo applicazioni gratuite o shareware. Inoltre, i proprietari sottolineano<\/a> che le applicazioni nello store sono state tutte analizzate da Google e sono completamente sicure, anzi, affermano che le loro applicazioni sono esattamente le stesse di quelle che si trovano su Google Play.<\/p>\n

Cosa \u00e8 successo ad APKPure?<\/h2>\n

Le app nello store possono aver superato tutti i test, ma l\u2019app APKPure no. Questo incidente ricorda molto l\u2019episodio di CamScanner<\/a>, in cui gli sviluppatori dell\u2019app avevano implementato un SDK pubblicitario da una fonte non verificata e che si \u00e8 poi rivelato dannoso. Questo \u00e8 anche il modo in cui un malware \u00e8 riuscito ad accedere ad APKPure.<\/p>\n

Sembra che la versione 3.17.18 di APKPure sia stata dotata di un SDK<\/a> (Software Development Kit) pubblicitario simile, che conteneva un Trojan dropper<\/a> e che le soluzioni Kaspersky rilevano come HEUR:Trojan-Dropper.AndroidOS.Triada.ap. Al suo avvio, il dropper estrae ed esegue il suo payload<\/a>, che \u00e8 la parte pericolosa. Questa componente pu\u00f2 svolgere diverse attivit\u00e0 dannose: mostrare annunci sulla schermata di blocco, aprire schede del browser, raccogliere informazioni sul dispositivo e, fra le pi\u00f9 sgradevoli di tutte, scaricare altri malware.<\/p>\n

Cosa pu\u00f2 succedere a un dispositivo su cui \u00e8 installato APKPure?<\/h2>\n

Il tipo di Trojan che viene scaricato (oltre a quello presente di per s\u00e9 all\u2019interno di APKPure) dipende dalla versione Android, cos\u00ec come da quanto regolarmente il vendor di smartphone abbia rilasciato (e l\u2019utente abbia installato) gli aggiornamenti di sicurezza.<\/p>\n

Se l\u2019utente ha una versione relativamente recente del sistema operativo (Android 8 o superiore) che non concede i permessi di root<\/a> a destra e a manca, allora vengono caricati i moduli aggiuntivi per il Trojan Triada<\/a>. Questi moduli, tra le altre cose, possono acquistare abbonamenti premium e scaricare altri malware.<\/p>\n

Se il dispositivo \u00e8 pi\u00f9 vecchio, utilizza Android 6 o 7 e senza aggiornamenti di sicurezza installati (o in alcuni casi nemmeno rilasciati dal vendor), sarebbe pi\u00f9 facile effettuare il rooting e verrebbe scaricato il Trojan xHelper<\/a>. Rimuovere questa bestia \u00e8 una vera sfida, nemmeno riportare il dispositivo alle impostazioni di fabbrica basterebbe. Armato di accesso root, xHelper consente ai cybercriminali di fare quasi tutto quello che vogliono sul dispositivo.<\/p>\n

APKPure \u00e8 sicuro ora?<\/h2>\n

L\u20198 aprile abbiamo informato APKPure. Il 9 aprile, i rappresentanti di APKPure hanno risposto di aver gi\u00e0 riscontrato il problema e che stavano lavorando alla correzione. Poco dopo, una nuova versione (3.17.19) \u00e8 apparsa sul sito di APKPure. Secondo la descrizione<\/a>, l\u2019aggiornamento \u201cha risolto un potenziale problema di sicurezza, rendendo APKPure pi\u00f9 sicuro per l\u2019uso\u201d.<\/p>\n

Possiamo confermare che il problema \u00e8 stato effettivamente risolto: APKPure 3.17.19 non contiene il componente dannoso. Ed \u00e8 sicuro da usare.<\/p>\n

Come difendersi dalla versione infetta di APKPure<\/h2>\n

Se non usate APKPure, allora non preoccupatevi, questo problema non vi riguarda. Ma per evitare situazioni simili in futuro:<\/p>\n