El ataque a una tienda de aplicaciones para Android

La tienda de aplicaciones APKPure ha sido infectada por un módulo malicioso que descarga troyanos en dispositivos Android.

Para reducir la probabilidad de instalar malware, siempre te recomendamos que descargues las aplicaciones únicamente de las tiendas oficiales. Ya que las tiendas no oficiales no solo albergan aplicaciones maliciosas, sino que pueden resultar del todo inseguras. De hecho, en una de nuestras últimas investigaciones hemos descubierto que APKPure, una fuente alternativa muy popular de aplicaciones para Android, ha recibido un ataque y ha estado distribuyendo otros troyanos.

¿Para qué sirve APKPure?

La más oficial de todas las tiendas de aplicaciones de Android es, por supuesto, Google Play. Pero solo está disponible en dispositivos que utilizan los Servicios de Google para Móviles (GMS) y están firmemente vinculados a la infraestructura de Google. Algunos proveedores evitan las bibliotecas GMS para mantenerse independientes y, como Android es un sistema operativo abierto, pueden hacerlo.

Para los usuarios, esto presenta una serie de ventajas y desventajas. Una desventaja importante es la pérdida del acceso a la tienda de aplicaciones de Google, donde los usuarios de Android pueden descargar las aplicaciones habituales.

Ahí es donde entran las tiendas alternativas, y APKPure es una de ellas. Su principal característica es que solo aloja aplicaciones gratuitas o shareware. Además, los propietarios afirman que todas las aplicaciones de su tienda han sido escaneadas por Google y son completamente seguras; de hecho, afirman que sus aplicaciones son exactamente las mismas que las de Google Play.

Entonces, ¿qué ha pasado con APKPure?

Es posible que las aplicaciones de la tienda hayan pasado todas las pruebas, pero la aplicación APKPure, no. Este incidente nos recuerda mucho al episodio de CamScanner, en el que los desarrolladores de la aplicación implementaron un SDK de publicidad de una fuente no verificada y resultó ser malicioso. De esta misma forma entró el malware en APKPure.

Parece que la versión 3.17.18 de APKPure también estaba equipada con un SDK de publicidad, uno con un troyano dropper integrado, que las soluciones de Kaspersky detectan como HEUR: Trojan-Dropper.AndroidOS.Triada.ap. Cuando se lanza, desempaqueta y ejecuta su carga útil, que es la parte peligrosa. Este componente puede hacer varias cosas: mostrar anuncios en la pantalla de bloqueo, abrir pestañas del navegador, recopilar información sobre el dispositivo y, lo más desagradable de todo, descargar otro malware.

¿Qué le puede pasar a un dispositivo con APKPure instalado?

El troyano que se descarga (además del integrado en APKPure) depende de la versión de Android, así como de la frecuencia con la que el proveedor del smartphone lanza, y el usuario instala, las actualizaciones de seguridad.

Si el usuario tiene una versión relativamente reciente del sistema operativo, es decir, Android 8 o superior, que no otorga permisos de root así como así, entonces cargará módulos adicionales para el troyano Triada. Estos módulos, entre otras cosas, pueden comprar suscripciones premium y descargar otro malware.

Si el dispositivo es más antiguo, ejecuta Android 6 o 7 y no cuenta con las actualizaciones de seguridad instaladas (o en algunos casos ni siquiera lanzadas por el proveedor) y, por lo tanto, es más fácil obtener acceso root, podría tratarse del troyano xHelper. Eliminar esta bestia es un verdadero desafío; ni siquiera funcionaría la restauración de fábrica. Armado con acceso de root, xHelper permite a los atacantes hacer prácticamente cualquier cosa que deseen en el dispositivo.

¿APKPure vuelve a ser seguro?

El 8 de abril informamos a APKPure sobre el problema y 9 de abril recibimos una respuesta por parte de sus representantes de que ya se habían percatado de la situación y que estaban trabajando para ponerle solución. Poco después, apareció una nueva versión (3.17.19) en el sitio web de APKPure. Según su descripción, la actualización solucionaba un posible problema de seguridad, lo que otorgaba más seguridad al uso de APKPure.

Podemos confirmar que el problema se ha solucionado: APKPure 3.17.19 no contiene el componente malicioso y es seguro de usar.

Cómo protegerte contra el troyano de APKPure

Si no usas APKPure, no tienes de qué preocuparte, el problema de hoy no te concierne. Pero para evitar problemas similares en el futuro:

Si usas APKPure, también te recomendamos que:

  • Actualices la aplicación APKPure a la versión en la que se solucionó el problema (es decir, 3.17.19 o más reciente).
  • Ejecutes un análisis completo con el antivirus del dispositivo.
Consejos