29/08/2019

Szkodliwa aplikacja dla systemu Android została pobrana ponad 100 mln razy w Sklepie Google Play

Informacje Zagrożenia

Niedawno badacze z firmy Kaspersky zidentyfikowali szkodliwe oprogramowanie w aplikacji o nazwie CamScanner. Ten przeznaczony dla telefonów kreator plików PDF zawiera funkcję OCR (optyczne rozpoznawanie znaków) i został pobrany ponad 100 mln razy w sklepie Google Play. Różne źródła nazywają tę aplikację inaczej, np. Phone PDF Creator czy CamScanner-Scanner to scan PDFs.

Zwykle uważa się, że pobieranie oprogramowania z oficjalnych sklepów z aplikacjami, takich jak Google Play, jest bezpieczne. Niestety prawda jest taka, że nic nie jest w 100% bezpieczne, a co jakiś czas osobom trudniącym się rozprzestrzenianiem szkodliwych programów udaje się przemycić swoje aplikacje do sklepu Google Play.

Problem w tym, że nawet tak potężna firma jak Google nie może dokładnie sprawdzać milionów aplikacji. Warto przy tym zauważyć, że większość aplikacji jest tam umieszczana na bieżąco, więc moderatorzy sklepu Google Play pracują przez cały czas.

Początkowo aplikacja CamScanner była nieszkodliwa. Jej źródłem zarobku były wyświetlane reklamy; umożliwiała również zakupy w aplikacji. Jednak w pewnym momencie sytuacja się zmieniła, a najnowsza wersja tej aplikacji została wyposażona w bibliotekę reklam zawierającą szkodliwy moduł.

Produkty firmy Kaspersky wykrywają ten moduł jako Trojan-Dropper.AndroidOS.Necro.n. Widzieliśmy go już w aplikacjach zainstalowanych domyślnie na chińskich smartfonach. Jak sugeruje nazwa, moduł ten jest trojanem dropperem: z zaszyfrowanego pliku umieszczonego w zasobach aplikacji wydobywa i uruchamia inny szkodliwy moduł — trojan downloader, który pobiera kolejne szkodliwe moduły w zależności od tego, co robią jego autorzy.

Na przykład aplikacja zawierająca ten szkodliwy kod może wyświetlać nachalne reklamy i zapisywać użytkowników do płatnych subskrypcji.

Niektórzy użytkownicy aplikacji CamScanner dostrzegli jej podejrzane zachowanie i napisali stosowną opinię w sklepie Google Play, ostrzegając przed nią inne osoby.

Badacze z firmy Kaspersky sprawdzili najnowszą wersję tej aplikacji. Okazało się, że i ona zawierała wspomniany szkodliwy kod. Swoje spostrzeżenia przekazaliśmy firmie Google, a w efekcie aplikacja została niezwłocznie usunięta ze sklepu Google Play.

Wygląda na to, że autorzy aplikacji usunęli z niej szkodliwy kod i udostępnili zaktualizowaną wersję CamScanner. Jednak należy tu mieć na uwadze, że wersje aplikacji różnią się na różnych urządzeniach, a niektóre z nich nadal mogą zawierać szkodliwy kod.

Sytuacja ta uświadamia, że każda aplikacja — nawet ta pobrana z oficjalnego sklepu, ciesząca się dobrą reputacją, posiadająca miliony pozytywnych opinii i dużą bazę użytkowników — może okazać się szkodliwym programem w przebraniu. Każdą aplikację dzieli tylko jedna aktualizacja od wielkiej zmiany. Aby nie wpaść w kłopoty, używaj niezawodnej aplikacji antywirusowej dla systemu Android i regularnie skanuj swój smartfon (płatna wersja Kaspersky Internet Security for Android przeprowadza skanowanie automatycznie).