Alert!

APKPure: Schadcode in App des alternativen Android-Stores entdeckt

Wer Android-Anwendungen über APKPure bezieht und dazu die gleichnamige App verwendet, sollte jetzt updaten: Forscher fanden Schadcode in der vorherigen Version.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 26 Beiträge

(Bild: lisyl/Shutterstock.com)

Update
Von
  • Olivia von Westernhagen

Nutzer des alternativen Android-App-Stores APKPure, die die APKPure-App für den Store-Zugriff nutzen, sollten sicherstellen, dass sie die aktuellste Version verwenden: Sicherheitsforscher von Kaspersky und Doctor Web haben in Version 3.17.18 der Anwendung Schadcode gefunden, der offenbar Daten sammeln, Fenster mit Werbeanzeigen öffnen und weitere Malware nachladen konnte. Nachdem die APKPure-Entwickler über die Entdeckung in Kenntnis gesetzt worden seien, veröffentlichten sie zügig eine neue Version ihrer App: Laut Kaspersky ist APKPure 3.17.19 bereinigt.

Nähere Details zu möglichen Malware-Infektionen durch die Nutzung von APKPure 3.17.18 nennt ein Blogeintrag des Kaspersky-Teams. Demnach gelangte der unerwünschte Programmcode mit hoher Wahrscheinlichkeit über eine Drittanbieter-Programmbibliothek in die App. Die nicht näher bezeichnete Library sollte wohl tatsächlich dem Einblenden von Werbung dienen, sei vom APKPure-Team vor dem (bewussten) Einbau aber offensichtlich nicht ausreichend auf Vertrauenswürdigkeit beziehungsweise versteckte Schadfunktionen überprüft worden.

Laut Kaspersky wurde die schädliche Payload im Zuge ihrer Tarnung jeweils erst zur Laufzeit der App entschlüsselt. Unter anderem sei sie in der Lage gewesen, Informationen auf betroffenen Geräten zu sammeln und an einen entfernten Server zu schicken. Sie habe zudem eigenständig Browserfenster mit Werbung (auch außerhalb der App-Oberfläche) öffnen und vor allem auch zusätzlichen Schadcode nachladen können.

Im Zuge ihrer Analyse berichteten beide AV-Softwarefirmen übereinstimmend, dass das verseuchte APKPure den Trojaner "Triada" geladen habe. Triadas unangenehmste Merkmale sind laut Kaspersky neben dem Anzeigen und eigenständigen Anklicken von Werbung (Klickbetrug) der Download weiterer unerwünschter Apps sowie das eigenmächtige Abschließen kostenpflichtiger Abonnements. Sei das Betriebssystem nicht auf dem neuesten Stand, könne Triada nachgeladene Apps schlimmstenfalls in der Systempartition des Android-Geräts installieren, von wo diese nur schwer wieder entfernbar seien.

Technische Details sowie Kompromittierungsindikatoren in Gestalt einer Liste von Dateihashes sowie den URLs der Command-and-Control-Server nennt Kasperskys Blogeintrag. Auch Doctor Web hat eine kurze Beschreibung des Vorfalls veröffentlicht.

Im Blogeintrag von Kaspersky fehlen Android-Paketbezeichnungen beziehungsweise App-Namen für Triada, wie sie zum manuellen Entfernen von Schadcode hilfreich sind. heise Security hat diesbezüglich bei Kaspersky nachgefragt. Die Antwort lautet sinngemäß: Da Triada als Modul der infizierten APKPure-App geladen und nicht als eigenständige App installiert werde, reiche es aus, APKPure zu entfernen beziehungsweise zu aktualisieren. APKPure 3.17.19 steht auf apkpure.com zum Download bereit, während die frühere Version 3.17.18 inzwischen komplett von der Website entfernt wurde.

Zur Nutzung alternativer Stores – APKPure ist recht beliebt – gibt es grundsätzlich sehr unterschiedliche Meinungen. Viele Sicherheitsexperten raten dazu, Android-Apps nur aus Googles offiziellem Play Store zu beziehen, um von dessen recht umfangreichen Anti-Malware-Mechanismen und strengen Richtlinien hinsichtlich nachgeladenen Inhalten, (un-)zulässigen Werbeeinblendungen und Co. zu profitieren. Andererseits ist auch Googles offizieller Store bekanntermaßen nicht vor Malware gefeit; zudem schmeckt der Zwang zur Anmeldung mit dem Google-Konto längst nicht jedem.

Mit seriösen Google Play-Alternativen befassen sich unter anderem folgende Artikel:

Update 12.04.21, 16:20: Informationen zu Triada ergänzt (keine Installation als eigenständige App).

(ovw)