Троян в Google Play с сотней миллионов загрузок

«Лаборатория Касперского» нашла вредоносный код в CamScanner, распознавателе текста из Google Play со 100+ млн загрузок.

Исследователи из «Лаборатории Касперского» недавно обнаружили вредоносный код в мобильном приложении CamScanner, которое пользователи Android загрузили из Google Play более 100 миллионов раз. Приложение предназначено для распознавания текста на сфотографированных документах и создания PDF-файлов прямо на телефоне. Это приложение можно найти под немного другим именем, например CamScanner — Phone PDF Creator или CamScanner — Scanner to scan PDFs.

Официальные магазины приложений обычно считаются надежными. Но, увы, даже в тихой гавани не обходится без происшествий, и время от времени вирусописателям удается пропихнуть свои творения в Google Play.

Проблема в том, что даже крупная компания вроде Google не может тщательно проверять миллионы приложений, большинство из которых к тому же регулярно обновляется. Так что у модераторов Google Play работы хоть отбавляй, и мошенники этим пользуются.

Какое-то время у приложения CamScanner не было вредоносных намерений. Для монетизации его создатели использовали рекламу или продажу премиум-аккаунтов. Но потом что-то пошло не так. В последних версиях CamScanner обнаружилась рекламная библиотека с вредоносным модулем.

Решения «Лаборатории Касперского» определяют вредоносный компонент в CamScanner как Trojan-Dropper.AndroidOS.Necro.n. Мы уже встречали его в некоторых приложениях, предустановленных на смартфонах китайского производства. Название вредоноса говорит само за себя: это троян-дроппер, он извлекает другой вредоносный модуль из зашифрованного файла, который хранится в ресурсах приложения, и запускает его. Этот второй модуль — троян-загрузчик: он загружает и устанавливает на смартфон другие вредоносные компоненты. Эти компоненты могут быть практически любыми — все зависит от того, какие команды отдадут создатели трояна. К примеру, они могут заставить приложение показывать пользователям навязчивую рекламу или оформлять им платные подписки.

Некоторые пользователи CamScanner уже обратили внимание на его подозрительное поведение и оставили в Google Play отзывы с предостережениями.

Исследователи из «Лаборатории Касперского» изучили одну из недавних версий приложения и обнаружили там вредоносный модуль. Мы сообщили об этой находке в Google, компания отреагировала оперативно и убрала вредоносное приложение из Google Play.

Похоже, что разработчики CamScanner убрали вредоносный код в последнем обновлении приложения. Но имейте в виду, что для разных устройств могут быть актуальны разные версии приложения, и некоторые из них все еще могут содержать вредоносный код.

В чем же мораль этой истории? В том, что любое приложение в один прекрасный день может превратиться в источник заражения, даже если оно из официального магазина, у него хорошая репутация, миллионы положительных отзывов и огромная лояльная пользовательская база. Чтобы не скачать приложение с «сюрпризом», используйте надежный антивирус для Android и сканируйте смартфон время от времени. В платной версии Kaspersky для Android сканирование включается автоматически.

Советы