Android, aplikacja ze 100 milionami pobrań ukrywa wirusa


Badacze firmy Kaspersky wykryli groźnego wirusa w CamScannerze, aplikacji pobranej ponad 100 milionów razy

Kolejna zainfekowana aplikacja ominęła kontrole antywirusowe w Sklepie Google Play i tym razem jest to aplikacja bardzo popularna: CamScanner, aplikacja pozwalająca zamienić aparat smartfona w skaner dokumentów, która ma ponad 100 milionów instalacji.

Badacze z Kaspersky Lab wykryli wewnątrz aplikacji trojana droppera (tj. kod wykorzystywany do pobierania wirusów na urządzenie) o nazwie Trojan-Dropper.AndroidOS.Necro.n. Uwaga badaczy skupiła się na CamScannerze po tym, jak w ostatnich miesiącach drastycznie wzrosła liczba negatywnych recenzji tej aplikacji, która wcześniej cieszyła się dużym uznaniem użytkowników. Google usunęło CamScannera ze Sklepu Play, ale epizod ten ożywił kontrowersje wokół bezpieczeństwa sklepu, który pomimo rzekomego posiadania kontroli bezpieczeństwa dla publikowanych aplikacji, zbyt często przepuszcza zainfekowane oprogramowanie, pozwalając użytkownikom na jego pobranie i zainstalowanie.

Jak działa trojan-dropper.AndroidOS.Necro.n

Moduł nazwany Trojan-Dropper.AndroidOS.Necro.n to Trojan Dropper, odmiana złośliwego oprogramowania wykorzystywana do pobierania i instalowania Trojana Downloadera na już skompromitowanych urządzeniach z systemem Android, który następnie może zostać użyty do zainfekowania smartfonów lub tabletów innym złośliwym oprogramowaniem. Jest to w zasadzie fragment kodu, który inicjuje infekcję, pobierając rzeczywiste wirusy. Kiedy aplikacja CamScanner jest uruchamiana na urządzeniu z systemem Android, dropper wykonuje kod zapisany w skompresowanym pliku Zip. Konsekwencje mogą być również bardzo poważne, jak wyjaśnia Kaspersky: "Właściciele modułów mogą wykorzystać zainfekowane urządzenie w dowolny sposób, jaki uznają za stosowny, od natrętnych reklam wyświetlanych ofierze po kradzież pieniędzy z konta mobilnego poprzez zapisywanie się do płatnych usług."


Za dużo wirusów w Sklepie Play?

Odkrycie trojana droppera w tak popularnej i udanej aplikacji ponownie otwiera kontrowersje dotyczące bezpieczeństwa Sklepu Play. Tylko w sierpniu w Sklepie Play wykryto 33 zainfekowane aplikacje (pobrane w sumie 100 milionów razy), a także open source'owe złośliwe oprogramowanie o nazwie AhMith, które mimo że znane od lat, zostało znalezione wewnątrz dwóch aplikacji muzycznych.


CamScanner, nadchodzi zaktualizowana wersja

Deweloperzy CamScannera wydali oświadczenie, w którym informują, że usunęli wirusa z kodu aplikacji. Za kilka dni będzie ona ponownie dostępna w Google Play Store.