Хакер #305. Многошаговые SQL-инъекции
Специалисты «Лаборатории Касперского» обнаружили в Google Play вредоносное приложение CamScanner, загруженное более 100 млн раз. Приложение предназначается для распознавания текста на сфотографированных документах и создания PDF-файлов. Его также можно найти под немного другим именем, например CamScanner — Phone PDF Creator или CamScanner — Scanner to scan PDFs. Проверить приложение эксперты решили из-за того, что в последнее время пользователи стали массово жаловаться на подозрительное поведение CamScanner.
Как оказалось, раньше у CamScanner не было вредоносных намерений. Но его разработчики решили использовать для монетизации рекламу или продажу премиум-аккаунтов, и на этом этапе что-то пошло не так. Исследователи пишут, что дроппер обнаружился не в коде самого приложения, но в составе рекламной библиотеки, добавленной в CamScanner сравнительно недавно. Очевидно, причиной его появления стало партнерство разработчиков приложения с недобросовестным рекламодателем. Малварь классифицировали как Trojan-Dropper.AndroidOS.Necro.n, и такой вредонос уже встречался экспертам ранее: он был предустановлен на смартфонах китайского производства.
Дроппер использовался для извлечения другого вредоносного модуля из зашифрованного файла, который хранился в ресурсах приложения, и запускал его. Второй модуль представлял собой троян-загрузчик: он связывался с управляющим сервером, загружал и устанавливал на устройство другие вредоносные компоненты. Отмечается, что полезная нагрузка может быть практически любой — все зависит от планов разработчиков малвари. Так, они могут заставить приложение показывать пользователям навязчивую рекламу или оформлять платные подписки.
Специалисты «Лаборатории Касперского» уже сообщили об этой находке инженерам Google, компания отреагировала оперативно и убрала вредоносное приложение из Google Play. Кроме того, похоже, что разработчики CamScanner убрали вредоносный код в последнем обновлении приложения, однако эксперты предупредили, что для разных устройств могут быть актуальны разные версии приложения, и некоторые из них все еще могут содержать вредоносный код.