【安全资讯】研究人员在APKPure安卓应用商店中发现Triada木马

近日，Doctor Web和卡巴斯基的研究人员在APKPure安卓应用商店中发现了疑似Triada的木马变种。该木马存在于APKPure客户端3.17.18版本中，其能够下载并安装各种应用程序，包括其它恶意软件，以及加载广告或网络钓鱼网站。

APKPure是一个流行的第三方安卓应用商店，一些安卓用户将其作为Google Play的替代品，APKPure 托管了众多应用和游戏。许多受限于网络条件的国内用户也都会使用 APKPure 下载应用。

卡巴斯基表示："已识别的嵌入 APKPure 的恶意代码以如下方式运行：在启动应用程序时，有效载荷被解密并启动，之后将会收集用户设备的信息，并将这些信息发送到 C＆C 服务器。之后，恶意代码会加载一个木马程序，它与臭名昭著的 Triada 恶意软件有很多共同之处，因为它可以执行一系列操作 —— 从显示和自动点击广告到注册付费订阅和下载其他恶意软件。"

接下来，根据其操作者的指示和货币化方案（广告或按安装付费），它将：
-    Android 设备每次解锁时，都会显示广告

-    反复打开含有广告的网页；

-    自动点击广告，注册付费订阅；

-    在未经用户同意的情况下安装其他有效载荷或潜在的恶意软件

卡巴斯基安全实验室称该恶意软件危害极强，其会根据用户使用的安卓版本和补丁情况定制化攻击。例如在较低版本且没有安装最新补丁的安卓系统上，恶意软件会利用相关漏洞在用户不知情的情况弹出点击广告。亦或者是直接安装推广软件并进行模拟操作以获得推广费 , 另外即便卸载APKPure后其携带的恶意模块依然驻留。

分析发现该恶意模块安装后无法通过常规方式卸载，因为用户既看不到图标也无法在所有应用程序里找到该程序。就目前来说卡巴斯基仅发现该恶意软件在部署后会进行侵入性广告，但攻击者有能力使用恶意软件窃取更多信息。

虽然没有 APKPure 应用的官方下载统计，但卡巴斯基表示，到目前为止，已经在 9380 名运行其安全解决方案的 Android 设备上屏蔽了该恶意软件。