В приложении из Google Play со 100 млн. установок обнаружен троянец-дроппер

28 август, 2019 - 10:55

В приложении из Google Play со 100 млн. установок обнаружен троянец-дроппер

Специалисты из «Лаборатории Касперского» исследовали популярное приложение CamScanner – Phone PDF creator, которое по данным Google Play было установлено более 100 млн раз. Разработчики позиционируют его как решение для сканирования и управления оцифрованными документами, но отрицательные отзывы от пользователей, оставленные за последний месяц, свидетельствовали о наличии нежелательных функций.

Анализ выявил в приложении рекламную библиотеку, содержащую вредоносный компонент – троянец-дроппер. Ранее аналогичный модуль часто встречался в предустановленном вредоносном ПО в смартфонах китайского производства. Можно предположить, что причиной его появления стало партнерство разработчиков приложения с недобросовестным рекламодателем.

После сообщения представителям Google приложение было оперативно удалено из Google Play.

В ходе работы приложения дроппер расшифровывает и выполняет вредоносный код, содержащийся в файле mutter.zip в ресурсах приложения. Далее расшифровывается конфигурационный файл с названием comparison, который содержит, в том числе, адреса серверов злоумышленников. Оттуда роппер скачивает дополнительный модуль и затем выполняется его код.

Вышеописанные функции Trojan-Dropper.AndroidOS.Necro.n выполняют основную задачу зловреда: скачивают и запускают полезную нагрузку с серверов злоумышленников. В результате зараженное устройство получает возможность приносить выгоду владельцам модуля любым подходящим для них способом, от показа жертве навязчивой рекламы до кражи денег с ее мобильного счета посредством оформления платных подписок.