Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Appka z 100 milionami pobrań z Google Play. Znaleziono w niej malware!
Aplikacja CamScanner — Phone PDF Creator, która służyła do generowania wersji skanowanych dokumentów w formacie PDF, okazała się trojanem. Do takich wniosków doszli badacze z Kaspersky (choć możliwe jest, że aplikacja do lipca, czyli po aktualizacji od wydawcy, była w pełni bezpieczna – dopiero wtedy zaczęła wykazywać złośliwe zachowanie, co zauważyli również użytkownicy).
Aplikację pobrano w sumie ponad 100 milionów razy. Jeśli już od momentu zamieszczenia jej w Google Play była złośliwa, bardzo źle świadczy to o zabezpieczeniach oficjalnego sklepu Androida. Schemat działania malware był stosunkowo prosty. Po prostu pobierała payload’y z serwerów przestępcy (3 z 4 korzystały z szyfrowanego połączenia, czyli po raz kolejny warto przypomnieć, że HTTPS ≠ bezpieczna strona), po czym je wykonywała.
As a result, the owners of the module can use an infected device to their benefit in any way they see fit, from showing the victim intrusive advertising to stealing money from their mobile account by charging paid subscriptions
Czyli aplikacja w łagodnym scenariuszu mogła “jedynie” wyświetlać reklamy. Gorzej jeśli wykradała pieniądze. Na szczęście po zgłoszeniu ekspertów została usunięta z Google Play (ostatnia aktualizacja wyszła 26 sierpnia).
W oryginalnym artykule na securelist.com nie znajdziemy opisu wykradania pieniędzy przez aplikację. Poniżej zamieszczamy odpowiedź firmy Kaspersky, którą zapytaliśmy o dwie kwestie:
Mamy informację, że w większości zbadanych przez naszych badaczy przypadków dropper wbudowany w aplikację pobierał i instalował trojana, który zapisywał użytkowników do płatnych subskrypcji.
Ponadto:
Na chwilę obecną wygląda na to, że atakujący usunęli szkodliwy kod z aplikacji.
Wciąż w sklepie znajduje się “rozszerzona” wersja CamScanner (możliwe, że już nie działa). Na pewno nie należy jej instalować. Jest też aplikacja na system iOS. W iTunes zebrała dobre recenzje (Nr 7 w gatunku Produktywność). Według Eugene Kasperskiego wykryty problem jej nie dotyczy.
Kopia cache Google Play z opisywaną aplikacją: https://webcache.googleusercontent.com/search?q=cache:mm4VsvxFisoJ:https://play.google.com/store/apps/details%3Fid%3Dcom.intsig.camscanner%26hl%3Dpl+&cd=3&hl=pl&ct=clnk&gl=pl
–mg
Dlatego w telefonie z androidem używam i blokuje wszytko przez (NoRoot Firewall) i od razu wiem ze dana aplikacja gdzieś chce sie dobijać.
Mi dzisiaj w nocy Norton pokazał malware w camscaner
A ja z niej korzystałem
Kurde, a to taki dobry tool był :-/
Zawsze czekam na opinie expertow, co zrobic w przypadku opisanym powyzej, gdy apka jest ok a pobiera payload niekontrolowany przez google (:
I jezeli to takie proste to dlaczego google tego nie wdrozy ?
Zreszta nawet jezeli zlikwiduja payloady to zawsze mozna zrobic tak jak Millervw appatore: wprowadzil czysta apke, ktora po aktualizacji mogla robic co chce…
Właśnie dlatego nie należy instalować aplikacji od niezaufanych dostawców. Minimalizując 𝗼𝗽𝗶𝘀𝗮𝗻𝗲 przez Ciebie ryzyko, wystarczy zrootować telefon (co z kolei otwiera nowe możliwości jego uszkodzenia przez samego użytkownika) i korzystać z F-Droid