В популярном Android-приложении CamScanner обнаружен троян ( 1 фото )
- 28.08.2019
- 1 065
Согласно статистике Google Play, число загрузок программы превышает 100 млн.
Специалисты «Лаборатории Касперского» обнаружили в каталоге Google Play Store вредоносное приложение CamScanner, содержащее троян-дроппер. Данное приложение предназначено для распознавания текста на сфотографированных документах и создания PDF-файлов прямо на телефоне. Его можно найти и под другими названиями, например, CamScanner — Phone PDF Creator или CamScanner — Scanner to scan PDFs. Согласно статистике Google Play, число загрузок программы превышает 100 млн.
Исследователи решили проверить приложение из-за многочисленных жалоб пользователей на подозрительное поведение CamScanner. По их словам, ранние версии приложения не содержали вредоносных изменений. Для монетизации его создатели использовали рекламу или продажу премиум-аккаунтов, однако в более позднем релизе специалисты заметили рекламную библиотеку, содержащую троян-дроппер Trojan-Dropper.AndroidOS.Necro.n (по классификации ЛК). Ранее похожий модуль был выявлен во вредоносном ПО, предустановленном на китайских смартфонах.
При запуске приложения дроппер расшифровывает и исполняет вредоносный код, содержащийся в файле mutter.zip в ресурсах приложения. Далее троян загружает дополнительный модуль с серверов и исполняет его.
«Этот второй модуль — троян-загрузчик: он загружает и устанавливает на смартфон другие вредоносные компоненты. Эти компоненты могут быть практически любыми — все зависит от того, какие команды отдадут создатели трояна. К примеру, они могут заставить приложение показывать пользователям навязчивую рекламу или оформлять им платные подписки», — отмечают эксперты.
Исследователи сообщили о своей находке Google и компания уже удалила приложение из каталога Google Play. По всей видимости, разработчики приложения также убрали вредоносный код в последнем обновлении программы. Однако, отмечают эксперты, для разных устройств могут быть актуальны разные версии приложения, и некоторые из них все еще могут содержать вредоносный код.
Материал взят: Тут