Especialistas encontram códigos maliciosos nas lojas de apps APKPure e Huawei AppGallery para Android

A fabricante de antivírus russa Dr. Web publicou alertas informando que pragas digitais foram encontradas em duas lojas “alternativas” de aplicativos para Android: a APKPure e a Huawei AppGallery.
Embora bastante diferentes um do outro, ambos os casos são recentes e demonstram os desafios que usuários de Android podem enfrentar para obter apps de forma segura.
O blog não recomenda utilizar outras lojas além da Play Store, mas até downloads na Play Store exigem cautela.
O AppGallery é uma loja oferecida pela Huawei que funciona da mesma forma que a loja do Google. Desenvolvedores podem cadastrar apps no AppGallery, mas devem ser aprovados para publicação.
Em seu site, a fabricante afirma que “o AppGallery possui um mecanismo de detecção de quatro camadas para prometer que os aplicativos apresentados na plataforma sejam seguros para download e uso”.
Mas, de concordância com a Dr. Web, dez aplicativos de dois desenvolvedores foram cadastrados na loja com o Joker, um código malicioso para Android que se conecta a um servidor de controle para receber comandos e “módulos” de funcionamento.

Entre suas várias funções, o Joker tenta interceptar mensagens SMS para cadastrar o usuário em serviços “premium”, que aumentam a conta de telefone e transferem a receita desse cadastro para o golpista.
Esse código malicioso é divulgado pelo menos desde 2017, mas está em estável evolução. Diversas versões do Joker já apareceu na Play Store, mas é a primeira vez que um código malicioso é encontrado no AppGallery da Huawei, segundo a Dr. Web.

Código no instalador da APKPure
A APKPure é uma loja que promete aos usuários a possibilidade de baixar apps da Play Store de qualquer região e a partir de qualquer aparelho, inclusive aqueles que não foram certificados pelo Google.
Por ser um “clone” da Play Store, a APKPure teria o mesmo teor e normalmente não seria provável que um app malicioso estivesse disponível na loja da APKPure e não na Play Store.
Porém, o próprio instalador da APKPure estava contaminado com um código malicioso. Ou seja, o problema não eram os apps específicos da loja, mas a loja em si.
De concordância com os especialistas da Dr. Web e da Kaspersky, o registo de instalação da APKPure possuía um kit de códigos de publicidade (“SDK”, na {sigla} em inglês) que executava instruções associadas ao Triada, um programa malicioso publicado para Android.
Dependendo da versão do Android – principalmente em versões antigas –, o Triada pode tentar instalar o xHelper, um programa malicioso invasivo que não é removido pela redefinição do sistema.
Em todos os dispositivos, o Triada atua exibindo anúncios publicitários em momentos inoportunos, atrapalhando o uso do celular, drenando a bateria e consumindo o pacote de dados.
Por ser um código malicioso versátil, o Triada também pode instalar outros programas no celular para realizar outras atividades. O Triada também é capaz de cadastrar o usuário em serviços que aumentam a conta de telefone, como o Joker.
Os responsáveis pela APKPure publicaram uma nova versão do instalador, a 3.17.19, informando que foi “revisto um problema de segurança”. Não foi explicado uma vez que o código do Triada foi parar no arquivo.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.