Appka z 100 milionami pobrań z Google Play. Znaleziono w niej malware!

29 sierpnia 2019, 16:51 | W biegu | komentarzy 6
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Aplikacja CamScanner — Phone PDF Creator, która służyła do generowania wersji skanowanych dokumentów w formacie PDF, okazała się trojanem. Do takich wniosków doszli badacze z Kaspersky (choć możliwe jest, że aplikacja do lipca, czyli po aktualizacji od wydawcy, była w pełni bezpieczna –  dopiero wtedy zaczęła wykazywać złośliwe zachowanie, co zauważyli również użytkownicy).

appka

Aplikację pobrano w sumie ponad 100 milionów razy. Jeśli już od momentu zamieszczenia jej w Google Play była złośliwa, bardzo źle świadczy to o zabezpieczeniach oficjalnego sklepu Androida. Schemat działania malware był stosunkowo prosty. Po prostu pobierała payload’y z serwerów przestępcy (3 z 4 korzystały z szyfrowanego połączenia, czyli po raz kolejny warto przypomnieć, że HTTPS ≠ bezpieczna strona), po czym je wykonywała.

As a result, the owners of the module can use an infected device to their benefit in any way they see fit, from showing the victim intrusive advertising to stealing money from their mobile account by charging paid subscriptions

Czyli aplikacja w łagodnym scenariuszu mogła “jedynie” wyświetlać reklamy. Gorzej jeśli wykradała pieniądze. Na szczęście po zgłoszeniu ekspertów została usunięta z Google Play (ostatnia aktualizacja wyszła 26 sierpnia). 

W oryginalnym artykule na securelist.com nie znajdziemy opisu wykradania pieniędzy przez aplikację. Poniżej zamieszczamy odpowiedź firmy Kaspersky, którą zapytaliśmy o dwie kwestie:

Mamy informację, że w większości zbadanych przez naszych badaczy przypadków dropper wbudowany w aplikację pobierał i instalował trojana, który zapisywał użytkowników do płatnych subskrypcji.

Ponadto:

Na chwilę obecną wygląda na to, że atakujący usunęli szkodliwy kod z aplikacji.

Wciąż w sklepie znajduje się “rozszerzona” wersja CamScanner (możliwe, że już nie działa). Na pewno nie należy jej instalować. Jest też aplikacja na system iOS. W iTunes zebrała dobre recenzje (Nr 7 w gatunku Produktywność). Według Eugene Kasperskiego wykryty problem jej nie dotyczy.

Kopia cache Google Play z opisywaną aplikacją: https://webcache.googleusercontent.com/search?q=cache:mm4VsvxFisoJ:https://play.google.com/store/apps/details%3Fid%3Dcom.intsig.camscanner%26hl%3Dpl+&cd=3&hl=pl&ct=clnk&gl=pl

–mg

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Zefir

    Dlatego w telefonie z androidem używam i blokuje wszytko przez (NoRoot Firewall) i od razu wiem ze dana aplikacja gdzieś chce sie dobijać.

    Odpowiedz
  2. Jacek

    Mi dzisiaj w nocy Norton pokazał malware w camscaner

    Odpowiedz
  3. Jan Witkowski

    A ja z niej korzystałem

    Odpowiedz
  4. CK

    Kurde, a to taki dobry tool był :-/

    Odpowiedz
  5. hmm

    Zawsze czekam na opinie expertow, co zrobic w przypadku opisanym powyzej, gdy apka jest ok a pobiera payload niekontrolowany przez google (:
    I jezeli to takie proste to dlaczego google tego nie wdrozy ?
    Zreszta nawet jezeli zlikwiduja payloady to zawsze mozna zrobic tak jak Millervw appatore: wprowadzil czysta apke, ktora po aktualizacji mogla robic co chce…

    Odpowiedz
    • Michał

      Właśnie dlatego nie należy instalować aplikacji od niezaufanych dostawców. Minimalizując 𝗼𝗽𝗶𝘀𝗮𝗻𝗲 przez Ciebie ryzyko, wystarczy zrootować telefon (co z kolei otwiera nowe możliwości jego uszkodzenia przez samego użytkownika) i korzystać z F-Droid

      Odpowiedz

Odpowiedz