{"id":26496,"date":"2021-04-12T17:17:05","date_gmt":"2021-04-12T15:17:05","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=26496"},"modified":"2021-09-17T18:52:00","modified_gmt":"2021-09-17T16:52:00","slug":"infected-apkpure","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/infected-apkpure\/26496\/","title":{"rendered":"Store f\u00fcr Android-Apps infiziert"},"content":{"rendered":"

Wir empfehlen grunds\u00e4tzlich Apps nur auf offiziellen Seiten herunterzuladen<\/a>, um das Risiko einer unbeabsichtigten Malware-Installierung zu reduzieren. Inoffizielle Stores k\u00f6nnen nicht nur b\u00f6sartige Apps enthalten, sondern der App Store selbst kann bereits ein Risiko darstellen. Aktuelle Forschungsergebnisse<\/a> haben entlarvt, dass APKPure, eine beliebte Downloadquelle f\u00fcr Android-Apps, infiziert wurde und derzeit zur Verbreitung von Trojanern ausgenutzt wird.<\/p>\n

Wof\u00fcr wird APKPure verwendet?<\/h2>\n

Der offiziellste Store f\u00fcr Android-Apps ist zweifellos Google Play. Allerdings ist dieser Service nur auf Ger\u00e4ten verf\u00fcgbar, die die Google Play-Dienste (auf Englisch Google Mobile Services oder kurz GMS) benutzen. Au\u00dferdem ist der Service fest in die Infrastruktur von Google eingebunden. Manche H\u00e4ndler vermeiden die GMS-Bibliotheken, um unabh\u00e4ngig zu bleiben und das ist m\u00f6glich, weil Android ein offenes Betriebssystem ist.<\/p>\n

Das ist f\u00fcr die Benutzer sowohl von Vorteil als auch von Nachteil. Einer der gr\u00f6\u00dften Nachteile ist, dass die Benutzer dieser Ger\u00e4te nicht auf den Play Store von Google zugreifen k\u00f6nnen, \u00fcber den die \u00fcblichen Android-Apps heruntergeladen werden.<\/p>\n

Hier kommen die Play-Store-Alternativen ins Spiel, zu denen auch APKPure z\u00e4hlt. Eines der Unterscheidungsmerkmale dieses Stores ist, dass hier nur kostenlose und Shareware-Apps gehostet werden. Des Weiteren unterstreichen<\/a> die Besitzer, dass alle in ihrem Store verf\u00fcgbaren Apps vorher von Google gescannt wurden und daher vollkommen sicher sind, bzw. dass die Apps auf APKPure genauso sicher sind, wie die auf Google Play.<\/p>\n

Was ist bei APKPure passiert?<\/h2>\n

Die Apps des Stores haben zwar m\u00f6glicherweise den Test bestanden, aber die APKPure-App ist in puncto Sicherheit durchgefallen. Der Vorfall erinnert an das Problem mit CamScanner<\/a>, eine App zur Texterkennung, bei der die Entwickler ein Software Development Kit (SDK)<\/a> f\u00fcr Werbung implementiert hatten, das sich als b\u00f6sartig herausstellte. Bei APKPure wurde die Malware auf dieselbe Art eingeschleust.<\/p>\n

Allem Anschein nach wurde bei der Version 3.17.18 \u00fcber die SDK-Implementierungen f\u00fcr das Schalten von Werbung ein Trojan-Dropper<\/a> eingeschleust, den die Kaspersky-Produkte als HEUR:Trojan-Dropper.AndroidOS.Triada.ap. erkennen. Sobald der Dropper gelauncht wird, packt er die Payload<\/a>, aus und aktiviert sie. Das ist der gef\u00e4hrliche Teil. Eine Payload ist eine Komponente einer Malware, die u. a. folgendes kann: Werbung auf gesperrten Bildschirmen anzeigen, Browser-Tabs \u00f6ffnen, Informationen \u00fcber Ger\u00e4te sammeln und am schlimmsten von allem, sie kann Malware herunterladen.<\/p>\n

Was kann bei Ger\u00e4ten passieren, auf denen APKPure installiert ist?<\/h2>\n

Welcher Trojaner heruntergeladen wird (zus\u00e4tzlich zum Trojaner, der bereits in APKPure installiert ist) h\u00e4ngt von der Android-Version ab und von der Regelm\u00e4\u00dfigkeit der Updates, die vom Smartphone-Hersteller bereitgestellt \u2013 und vom Benutzer installiert \u2013 werden.<\/p>\n

Wenn der Benutzer \u00fcber eine relativ neue Version des Betriebssystems verf\u00fcgt \u2013 Android 8 oder h\u00f6her \u2013 die Root-Rechte<\/a> nicht aufs Geratewohl vergibt \u2013 dann werden zus\u00e4tzliche Module f\u00fcr den Triada-Trojaner<\/a> installiert. Diese Module k\u00f6nnen u. a. Premium-Abonnements kaufen und weitere Malware herunterladen.<\/p>\n

Bei \u00e4lteren Ger\u00e4ten mit Android 6 oder 7, auf denen keine Sicherheitsupdates installiert wurden (oder in manchen F\u00e4llen noch nicht einmal vom Hersteller zur Verf\u00fcgung gestellt werden) und daher einfacher zu rooten sind, k\u00f6nnte es sich um den xHelper-Trojaner<\/a> handeln. Dieses Monster zu entfernen ist eine wahre Herausforderung \u2013 selbst eine Zur\u00fccksetzung auf Werkeinstellung hilft hier nicht weiter. Ist der xHelper einmal mit dem Root-Zugriff bewaffnet, erm\u00f6glicht er den Angreifern so ziemlich alles auf dem Ger\u00e4t zu machen.<\/p>\n

Ist APKPure jetzt sicher?<\/h2>\n

Wir informierten APKPure am 8. April \u00fcber den Vorfall. Am 9. April best\u00e4tigte uns APKPure, dass sie das Problem gefunden haben und an einer L\u00f6sung arbeiten. Kurz darauf wurde eine neue Version (3.17.19) auf der Website von APKPure ver\u00f6ffentlicht. Laut der Update-Beschreibung<\/a>, wurde ein \u201epotenzielles Sicherheitsproblem behoben wodurch APKPure jetzt sicherer ist.\u201c<\/p>\n

Wir k\u00f6nnen best\u00e4tigen, dass das Problem erfolgreich gel\u00f6st wurde: APKPure 3.17.19 enth\u00e4lt keine b\u00f6sartigen Komponenten und bietet angemessene Sicherheit.<\/p>\n

So sch\u00fctzen Sie sich vor der trojanisierten Version von APKPure<\/h2>\n

Wenn Sie APKPure nicht verwenden, m\u00fcssen Sie sich keine Sorgen machen, denn in diesem Fall Sie sind von den Problemen des heutigen Themas nicht betroffen. Aber Sie k\u00f6nnen trotzdem folgende Vorsichtsma\u00dfnahmen ergreifen, um sich vor \u00e4hnlichen Vorf\u00e4llen in der Zukunft zu sch\u00fctzen:<\/p>\n