В популярном Android-приложении обнаружен троян
Специалисты из "Лаборатории Касперского" исследовали популярное приложение CamScanner - Phone PDF creator, которое по данным Google Play было установлено более 100 млн раз. Разработчики позиционируют его как решение для сканирования и управления оцифрованными документами, но отрицательные отзывы от пользователей, оставленные за последний месяц, свидетельствовали о наличии нежелательных функций.
Анализ выявил в приложении рекламную библиотеку, содержащую вредоносный компонент - троянец-дроппер. Ранее аналогичный модуль часто встречался в предустановленном вредоносном ПО в смартфонах китайского производства. Можно предположить, что причиной его появления стало партнерство разработчиков приложения с недобросовестным рекламодателем.
После сообщения представителям Google приложение было оперативно удалено из Google Play.
В ходе работы приложения дроппер расшифровывает и выполняет вредоносный код, содержащийся в файле mutter.zip в ресурсах приложения. Далее расшифровывается конфигурационный файл с названием comparison, который содержит, в том числе, адреса серверов злоумышленников. Оттуда роппер скачивает дополнительный модуль и затем выполняется его код.
Вышеописанные функции Trojan-Dropper.AndroidOS.Necro.n выполняют основную задачу зловреда: скачивают и запускают полезную нагрузку с серверов злоумышленников. В результате зараженное устройство получает возможность приносить выгоду владельцам модуля любым подходящим для них способом, от показа жертве навязчивой рекламы до кражи денег с ее мобильного счета посредством оформления платных подписок.
