Appka z 100 milionami pobrań z Google Play. Znaleziono w niej malware!

Aplikacja CamScanner — Phone PDF Creator, która służyła do generowania wersji skanowanych dokumentów w formacie PDF, okazała się trojanem. Do takich wniosków doszli badacze z Kaspersky (choć możliwe jest, że aplikacja do lipca, czyli po aktualizacji od wydawcy, była w pełni bezpieczna –  dopiero wtedy zaczęła wykazywać złośliwe zachowanie, co zauważyli również użytkownicy).

appka

Aplikację pobrano w sumie ponad 100 milionów razy. Jeśli już od momentu zamieszczenia jej w Google Play była złośliwa, bardzo źle świadczy to o zabezpieczeniach oficjalnego sklepu Androida. Schemat działania malware był stosunkowo prosty. Po prostu pobierała payload’y z serwerów przestępcy (3 z 4 korzystały z szyfrowanego połączenia, czyli po raz kolejny warto przypomnieć, że HTTPS ≠ bezpieczna strona), po czym je wykonywała.

As a result, the owners of the module can use an infected device to their benefit in any way they see fit, from showing the victim intrusive advertising to stealing money from their mobile account by charging paid subscriptions

Czyli aplikacja w łagodnym scenariuszu mogła “jedynie” wyświetlać reklamy. Gorzej jeśli wykradała pieniądze. Na szczęście po zgłoszeniu ekspertów została usunięta z Google Play (ostatnia aktualizacja wyszła 26 sierpnia). 

W oryginalnym artykule na securelist.com nie znajdziemy opisu wykradania pieniędzy przez aplikację. Poniżej zamieszczamy odpowiedź firmy Kaspersky, którą zapytaliśmy o dwie kwestie:

Mamy informację, że w większości zbadanych przez naszych badaczy przypadków dropper wbudowany w aplikację pobierał i instalował trojana, który zapisywał użytkowników do płatnych subskrypcji.

Ponadto:

Na chwilę obecną wygląda na to, że atakujący usunęli szkodliwy kod z aplikacji.

Wciąż w sklepie znajduje się “rozszerzona” wersja CamScanner (możliwe, że już nie działa). Na pewno nie należy jej instalować. Jest też aplikacja na system iOS. W iTunes zebrała dobre recenzje (Nr 7 w gatunku Produktywność). Według Eugene Kasperskiego wykryty problem jej nie dotyczy.

Kopia cache Google Play z opisywaną aplikacją: https://webcache.googleusercontent.com/search?q=cache:mm4VsvxFisoJ:https://play.google.com/store/apps/details%3Fid%3Dcom.intsig.camscanner%26hl%3Dpl+&cd=3&hl=pl&ct=clnk&gl=pl

–mg