В популярном Android-приложении CamScanner обнаружен троян

В популярном Android-приложении CamScanner обнаружен троян

Согласно статистике Google Play, число загрузок программы превышает 100 млн.

image

Специалисты «Лаборатории Касперского» обнаружили в каталоге Google Play Store вредоносное приложение CamScanner, содержащее троян-дроппер. Данное приложение предназначено для распознавания текста на сфотографированных документах и создания PDF-файлов прямо на телефоне. Его можно найти и под другими названиями, например, CamScanner - Phone PDF Creator или CamScanner - Scanner to scan PDFs. Согласно статистике Google Play, число загрузок программы превышает 100 млн.

Исследователи решили проверить приложение из-за многочисленных жалоб пользователей на подозрительное поведение CamScanner. По их словам, ранние версии приложения не содержали вредоносных изменений. Для монетизации его создатели использовали рекламу или продажу премиум-аккаунтов, однако в более позднем релизе специалисты заметили рекламную библиотеку, содержащую троян-дроппер Trojan-Dropper.AndroidOS.Necro.n (по классификации ЛК). Ранее похожий модуль был выявлен во вредоносном ПО, предустановленном на китайских смартфонах.

При запуске приложения дроппер расшифровывает и исполняет вредоносный код, содержащийся в файле mutter.zip в ресурсах приложения. Далее троян загружает дополнительный модуль с серверов и исполняет его.

«Этот второй модуль - троян-загрузчик: он загружает и устанавливает на смартфон другие вредоносные компоненты. Эти компоненты могут быть практически любыми - все зависит от того, какие команды отдадут создатели трояна. К примеру, они могут заставить приложение показывать пользователям навязчивую рекламу или оформлять им платные подписки», - отмечают эксперты.

Исследователи сообщили о своей находке Google и компания уже удалила приложение из каталога Google Play. По всей видимости, разработчики приложения также убрали вредоносный код в последнем обновлении программы. Однако, отмечают эксперты, для разных устройств могут быть актуальны разные версии приложения, и некоторые из них все еще могут содержать вредоносный код.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle