В популярном Android-приложении CamScanner обнаружен троян

1

Согласно статистике Google Play, число загрузок программы превышает 100 млн.

Специалисты «Лаборатории Касперского» обнаружили в каталоге Google Play Store вредоносное приложение CamScanner, содержащее троян-дроппер. Данное приложение предназначено для распознавания текста на сфотографированных документах и создания PDF-файлов прямо на телефоне. Его можно найти и под другими названиями, например, CamScanner – Phone PDF Creator или CamScanner – Scanner to scan PDFs. Согласно статистике Google Play, число загрузок программы превышает 100 млн.

Исследователи решили проверить приложение из-за многочисленных жалоб пользователей на подозрительное поведение CamScanner. По их словам, ранние версии приложения не содержали вредоносных изменений. Для монетизации его создатели использовали рекламу или продажу премиум-аккаунтов, однако в более позднем релизе специалисты заметили рекламную библиотеку, содержащую троян-дроппер Trojan-Dropper.AndroidOS.Necro.n (по классификации ЛК). Ранее похожий модуль был выявлен во вредоносном ПО, предустановленном на китайских смартфонах.

При запуске приложения дроппер расшифровывает и исполняет вредоносный код, содержащийся в файле mutter.zip в ресурсах приложения. Далее троян загружает дополнительный модуль с серверов и исполняет его.

«Этот второй модуль – троян-загрузчик: он загружает и устанавливает на смартфон другие вредоносные компоненты. Эти компоненты могут быть практически любыми – все зависит от того, какие команды отдадут создатели трояна. К примеру, они могут заставить приложение показывать пользователям навязчивую рекламу или оформлять им платные подписки», – отмечают эксперты.

Исследователи сообщили о своей находке Google и компания уже удалила приложение из каталога Google Play. По всей видимости, разработчики приложения также убрали вредоносный код в последнем обновлении программы. Однако, отмечают эксперты, для разных устройств могут быть актуальны разные версии приложения, и некоторые из них все еще могут содержать вредоносный код.