Скачанный 100 млн раз мобильный сканер обернулся трояном

Опубликовано at 17:50
37 0

В случае с таким заповедником вредоносов как Google Play, случается всякое. Бывает, что в него загружают вредоносные программы как таковые. Бывает, что вредоносные программы подменяют легальные или просто имитируют их похожим названием. Но вот такое, как в рассматриваемом случае, когда сами авторы успешного ПО решают превратить его во вредонос – такого эксперты АКБ не припомнят.

До того как расцвести трояном-дроппером, CamScanner было вполне добропорядочным приложением. Согласно статистике Google Play, число загрузок программы превышает 100 млн. Приложение предназначено для распознавания текста на сфотографированных документах и создания PDF-файлов прямо на телефоне. Его можно найти и под другими названиями, например, CamScanner – Phone PDF Creator или CamScanner – Scanner to scan PDFs.

Исследователи «Лаборатории Касперского» решили проверить приложение из-за поступивших многочисленных жалоб пользователей на подозрительное поведение CamScanner.

Выяснилось следующее: ранние версии CamScanner не содержали вредоносных изменений. В определенный момент, однако, для монетизации его создатели использовали рекламу или продажу премиум-аккаунтов, и в более позднем релизе специалисты заметили рекламную библиотеку, содержащую троян-дроппер Trojan-Dropper.AndroidOS.Necro.n (по классификации ЛК). Ранее похожий модуль был выявлен во вредоносном ПО, предустановленном на китайских смартфонах.

При запуске приложения дроппер расшифровывает и исполняет вредоносный код, содержащийся в файле mutter.zip в ресурсах приложения. Далее троян загружает дополнительный модуль с серверов и исполняет его.

«Второй модуль – это троян-загрузчик: он загружает и устанавливает на смартфон другие вредоносные компоненты. Эти компоненты могут быть практически любыми — все зависит от того, какие команды отдадут создатели трояна. К примеру, они могут заставить приложение показывать пользователям навязчивую рекламу или оформлять им платные подписки», – «Лаборатория Касперского».

Исследователи сообщили о своей находке Google и компания уже удалила приложение из каталога Google Play. По всей видимости, разработчики приложения также убрали вредоносный код в последнем обновлении программы. Однако, отмечают эксперты, для разных устройств могут быть актуальны разные версии приложения, и некоторые из них все еще могут содержать вредоносный код.

Эксперт АКБ напоминают, что это не первый и даже не десятый раз, когда в Google Play находят всяческую вредоносицу.

Читайте избранную подборку таких историй:

В Google Play нашли тайную сеть похитителей селфи

В GooglePlay нашли клиппер-подменщик номера кошелька в буфере обмена

В Google Play нашли еще 50 вирусов – их скачали 30 млн раз

За год объем малвари в Google Play удвоился – но есть нюанс

В Google Play опять нашли шпионскую сеть – возможно итальянских спецслужб

Лгут или недоговаривают? История вирусов в Google Play и охотника за ними

Подписываемся, следим @CyberAgency

Related Post