in

Infección en APKPure, la tienda de aplicaciones para Android

La tienda de aplicaciones APKPure fue infectada por un módulo malicioso que descarga troyanos en dispositivos Android.

Infección en APKPure, la tienda de aplicaciones para Android

Siempre recomendamos descargar aplicaciones solo de tiendas oficiales, a fin de reducir la probabilidad de instalar malware, ya que las tiendas no oficiales no solo albergan aplicaciones maliciosas, sino que pueden resultar del todo inseguras. De hecho, en una de las últimas investigaciones de Kaspersky se descubrió que APKPure, una fuente alternativa muy popular de aplicaciones para Android, fue atacada con troyanos y ha estado distribuyendo otros.

¿Para qué sirve APKPure?

La más oficial de todas las tiendas de aplicaciones para Android es, por supuesto, Google Play.  Pero solo está disponible en dispositivos que utilizan los Servicios de Google Móvil (GMS) y están firmemente vinculados a la infraestructura de Google. Algunos proveedores evitan las bibliotecas GMS para mantenerse independientes y, como Android es un sistema operativo abierto, pueden hacerlo.

Para los usuarios, esto presenta una serie de ventajas y desventajas. Una desventaja importante es la pérdida del acceso a la tienda de aplicaciones de Google, donde los usuarios de Android pueden descargar las aplicaciones habituales.

Ahí es donde entran las tiendas alternativas, y APKPure es una de ellas. Su principal característica es que solo aloja aplicaciones gratuitas o shareware. Además, los propietarios enfatizan que todas las aplicaciones de su tienda fueron escaneadas por Google y son completamente seguras; de hecho, afirman que sus aplicaciones son exactamente las mismas que las de Google Play.

¿Qué fue lo que pasó con APKPure?

Es posible que las aplicaciones de la tienda hayan pasado todas las pruebas, pero la aplicación APKPure, no. Este incidente nos recuerda mucho al episodio de episodio de CamScanner, en el que los desarrolladores de la aplicación implementaron un SDK de publicidad de una fuente no verificada y resultó ser malicioso. De la misma manera entró el malware en APKPure.

Parece que la versión 3.17.18 de APKPure también estaba equipada con un SDK de publicidad, uno con un troyano dropper integrado, que las soluciones de Kaspersky detectan como HEUR: Trojan-Dropper.AndroidOS.Triada.ap.  Cuando se lanza, desempaqueta y ejecuta su carga útil, que es la parte peligrosa. Este componente puede hacer varias cosas: mostrar anuncios en la pantalla de bloqueo, abrir pestañas del navegador, recopilar información sobre el dispositivo y, lo más desagradable de todo, descargar otro malware.

¿Qué le puede pasar a un dispositivo con APKPure instalado?

El troyano que se descarga (además del integrado en APKPure) depende de la versión de Android, así como de la frecuencia con la que el proveedor del smartphone lanza, y el usuario instala, las actualizaciones de seguridad.

Si el usuario tiene una versión relativamente reciente del sistema operativo, es decir, Android 8 o superior, que no otorga permisos de root así como así, entonces cargará módulos adicionales para el troyano Triada. Estos módulos, entre otras cosas, pueden comprar suscripciones premium y descargar otro malware.

Si el dispositivo es más antiguo, con Android 6 o 7, y no tienen instaladas las actualizaciones de seguridad (o en algunos casos, éstas ni siquiera han sido lanzadas por el proveedor) y, por lo tanto, es más fácil obtener acceso root, podría tratarse del troyano xHelper. Eliminar esta bestia es un verdadero desafío que ni siquiera la restauración de fábrica sería efectiva. Armado con acceso de root, xHelper permite a los atacantes hacer prácticamente cualquier cosa que deseen en el dispositivo.

¿APKPure ya es segura?

El 8 de abril, informamos a APKPure sobre el problema, y el 9 de abril sus representantes respondieron que ya se habían percatado de la situación y que estaban trabajando para ponerle solución. Poco después, apareció una nueva versión (3.17.19) en el sitio web de APKPure. Según su descripción, la actualización solucionaba un posible problema de seguridad, lo que otorgaba más seguridad al uso de APKPure.

Podemos confirmar que el problema se solucionó: APKPure 3.17.19 no contiene el componente malicioso y es seguro de usar.

Cómo protegerte contra el troyano de APKPure

Si no usas APKPure, no tienes de qué preocuparte, el problema de hoy no te concierne. Pero para evitar problemas similares en el futuro:

  • Nunca descargues aplicaciones de fuentes no oficiales y bloquea la instalación de aplicaciones de fuentes de terceros en la configuración de Android.
  • Utiliza una solución de seguridad de confianza que escanee automáticamente todos los archivos nuevos.
  • Actualiza periódicamente todas las aplicaciones y el sistema operativo.

Si usas APKPure, también te recomendamos que:

  • Actualices la aplicación APKPure a la versión en la que se solucionó el problema (es decir, 3.17.19 o más reciente).
  • Ejecutes un análisis completo con el antivirus del dispositivo.