Wir empfehlen grundsätzlich Apps nur auf offiziellen Seiten herunterzuladen, um das Risiko einer unbeabsichtigten Malware-Installierung zu reduzieren. Inoffizielle Stores können nicht nur bösartige Apps enthalten, sondern der App Store selbst kann bereits ein Risiko darstellen. Aktuelle Forschungsergebnisse haben entlarvt, dass APKPure, eine beliebte Downloadquelle für Android-Apps, infiziert wurde und derzeit zur Verbreitung von Trojanern ausgenutzt wird.
Wofür wird APKPure verwendet?
Der offiziellste Store für Android-Apps ist zweifellos Google Play. Allerdings ist dieser Service nur auf Geräten verfügbar, die die Google Play-Dienste (auf Englisch Google Mobile Services oder kurz GMS) benutzen. Außerdem ist der Service fest in die Infrastruktur von Google eingebunden. Manche Händler vermeiden die GMS-Bibliotheken, um unabhängig zu bleiben und das ist möglich, weil Android ein offenes Betriebssystem ist.
Das ist für die Benutzer sowohl von Vorteil als auch von Nachteil. Einer der größten Nachteile ist, dass die Benutzer dieser Geräte nicht auf den Play Store von Google zugreifen können, über den die üblichen Android-Apps heruntergeladen werden.
Hier kommen die Play-Store-Alternativen ins Spiel, zu denen auch APKPure zählt. Eines der Unterscheidungsmerkmale dieses Stores ist, dass hier nur kostenlose und Shareware-Apps gehostet werden. Des Weiteren unterstreichen die Besitzer, dass alle in ihrem Store verfügbaren Apps vorher von Google gescannt wurden und daher vollkommen sicher sind, bzw. dass die Apps auf APKPure genauso sicher sind, wie die auf Google Play.
Was ist bei APKPure passiert?
Die Apps des Stores haben zwar möglicherweise den Test bestanden, aber die APKPure-App ist in puncto Sicherheit durchgefallen. Der Vorfall erinnert an das Problem mit CamScanner, eine App zur Texterkennung, bei der die Entwickler ein Software Development Kit (SDK) für Werbung implementiert hatten, das sich als bösartig herausstellte. Bei APKPure wurde die Malware auf dieselbe Art eingeschleust.
Allem Anschein nach wurde bei der Version 3.17.18 über die SDK-Implementierungen für das Schalten von Werbung ein Trojan-Dropper eingeschleust, den die Kaspersky-Produkte als HEUR:Trojan-Dropper.AndroidOS.Triada.ap. erkennen. Sobald der Dropper gelauncht wird, packt er die Payload, aus und aktiviert sie. Das ist der gefährliche Teil. Eine Payload ist eine Komponente einer Malware, die u. a. folgendes kann: Werbung auf gesperrten Bildschirmen anzeigen, Browser-Tabs öffnen, Informationen über Geräte sammeln und am schlimmsten von allem, sie kann Malware herunterladen.
Was kann bei Geräten passieren, auf denen APKPure installiert ist?
Welcher Trojaner heruntergeladen wird (zusätzlich zum Trojaner, der bereits in APKPure installiert ist) hängt von der Android-Version ab und von der Regelmäßigkeit der Updates, die vom Smartphone-Hersteller bereitgestellt – und vom Benutzer installiert – werden.
Wenn der Benutzer über eine relativ neue Version des Betriebssystems verfügt – Android 8 oder höher – die Root-Rechte nicht aufs Geratewohl vergibt – dann werden zusätzliche Module für den Triada-Trojaner installiert. Diese Module können u. a. Premium-Abonnements kaufen und weitere Malware herunterladen.
Bei älteren Geräten mit Android 6 oder 7, auf denen keine Sicherheitsupdates installiert wurden (oder in manchen Fällen noch nicht einmal vom Hersteller zur Verfügung gestellt werden) und daher einfacher zu rooten sind, könnte es sich um den xHelper-Trojaner handeln. Dieses Monster zu entfernen ist eine wahre Herausforderung – selbst eine Zurücksetzung auf Werkeinstellung hilft hier nicht weiter. Ist der xHelper einmal mit dem Root-Zugriff bewaffnet, ermöglicht er den Angreifern so ziemlich alles auf dem Gerät zu machen.
Ist APKPure jetzt sicher?
Wir informierten APKPure am 8. April über den Vorfall. Am 9. April bestätigte uns APKPure, dass sie das Problem gefunden haben und an einer Lösung arbeiten. Kurz darauf wurde eine neue Version (3.17.19) auf der Website von APKPure veröffentlicht. Laut der Update-Beschreibung, wurde ein „potenzielles Sicherheitsproblem behoben wodurch APKPure jetzt sicherer ist.“
Wir können bestätigen, dass das Problem erfolgreich gelöst wurde: APKPure 3.17.19 enthält keine bösartigen Komponenten und bietet angemessene Sicherheit.
So schützen Sie sich vor der trojanisierten Version von APKPure
Wenn Sie APKPure nicht verwenden, müssen Sie sich keine Sorgen machen, denn in diesem Fall Sie sind von den Problemen des heutigen Themas nicht betroffen. Aber Sie können trotzdem folgende Vorsichtsmaßnahmen ergreifen, um sich vor ähnlichen Vorfällen in der Zukunft zu schützen:
- Laden Sie niemals Apps auf inoffiziellen Quellen herunter und blockieren Sie in den Android-Einstellungen das Herunterladen von Apps über Drittanbieterquellen.
- Benutzen Sie eine zuverlässige Sicherheitslösung, die automatisch alle neuen Dateien scannt.
- Aktualisieren Sie regelmäßig alle Apps und Betriebssysteme.
Wenn Sie APKPure verwenden, empfehlen wir zusätzlich folgende Sicherheitsmaßnahmen zu ergreifen:
- Aktualisieren Sie die APKPure-App auf die Version bei der das Sicherheitsproblem gepatcht wurde (3.17.19 oder neuer).
- Führen Sie einen umfassenden Virenscan auf dem betroffenen Gerät durch.