Kaspersky ha scoperto un malware nella versione gratuita per dispositivi Android della famosa app CamScanner presente nello store ufficiale
Sarà capitato a molti di voi di voler scannerizzare un documento o una pagina di un testo per condividerlo, e probabilmente lo avete fatto usando CamScanner: è un’app molto popolare per la creazione di PDF, conta oggi oltre 100 milioni di download solo sullo store ufficiale di Google. Gli esperti di Kaspersky hanno scoperto malware nella versione Android gratuita dell’app che potrebbe essere utilizzata dagli aggressori per attaccare in remoto i dispositivi Android e rubare i dati dei target. Google ha già rimosso l’app CamScanner dal Play Store e gli utenti farebbero meglio a disinstallare immediatamente l’app dal proprio dispositivo Android.
I ricercatori di Kaspersky hanno scoperto un modulo malevolo, un Trojan Dropper, presente nell’app che può essere sfruttato in remoto da attaccanti per scaricare e installare codici dannosi senza alcuna interazione da parte dell’utente. Il modulo è stato nascosto in una libreria pubblicitaria sviluppata da terze parti che è stata recentemente introdotta dall’autore dell’app.
Cosa hanno scoperto i tecnici Kaspersky
“CamScanner è stata in realtà un’app legittima, senza alcuna intenzione malevola, per un po’ di tempo. Usava la pubblicità per ottenere ricavi e permetteva acquisti in-app. Tuttavia ad un certo punto tutto ciò è cambiato, e le versioni recenti dell’applicazione includono una libreria pubblicitaria contenente un modulo dannoso” recita un post pubblicato da Kaspersky. Il problema è stato scoperto dopo che molti utenti di CamScanner hanno osservato comportamenti sospetti e pubblicato recensioni negative sul Google Play Store negli ultimi mesi.
“Dopo aver analizzato l’app, abbiamo visto una libreria pubblicitaria che contiene un componente dropper dannoso. In precedenza un modulo simile veniva spesso trovato preinstallato su smartphone di fabbricazione cinese. Si può presumere che il motivo per cui questo malware è stato aggiunto sia la collaborazione degli sviluppatori di app con un inserzionista senza scrupoli ”recita l’analisi pubblicata da Kaspersky. “Le soluzioni Kaspersky rilevano questo componente dannoso come Trojan-Dropper.AndroidOS.Necro.n. Abbiamo segnalato all’azienda Google i nostri risultati e l’app è stata prontamente rimossa da Google Play”.
Quando viene avviata l’app CamScanner, il modulo dropper decodifica ed esegue il codice dannoso contenuto nel file mutter.zip memorizzato nelle risorse dell’app. Il modulo può essere utilizzato per eseguire codice dannoso per scopi diversi, dalla pubblicità intrusiva al furto di denaro dal proprio account mobile addebitando la sottoscrizione ad abbonamenti a pagamento alle vittime.
fonte: blog Kaspersky
Cosa fare ora?
“Come suggerisce il nome, il modulo è un dropper trojan – spiega Kaspersky – Ciò significa che il modulo estrae ed esegue un altro modulo dannoso da un file crittografato incluso nelle risorse dell’app. Questo malware scaricato è a sua volta un downloader di Trojan, ovvero un codice che scarica più moduli dannosi a seconda di ciò che i suoi creatori stanno facendo al momento”. Dopo che Google ha rimosso l’app CamScanner dal Play Store, gli sviluppatori dell’app hanno eliminato il codice dannoso dall’applicazione con l’ultimo aggiornamento. I ricercatori avvertono che le versioni dell’app variano a seconda del dispositivo e che alcune potrebbero ancora contenere malware. La versione a pagamento dell’app non include la libreria pubblicitaria di terze parti: ciò significa che non contiene malware e, per questo motivo, Google non l’ha rimossa dal Play Store.
Recentemente altri titoli di app infette sono state distribuite tramite Google Play Store. La scorsa settimana, gli esperti ESET hanno scoperto che un’app Android infettata da RAT open source di nome AhMyth che ha aggirato la sicurezza di Google Play due volte in due settimane. A marzo, i ricercatori di Check Point hanno individuato una sofisticata campagna malware che diffondeva l’agente SimBad attraverso il Google Play Store ufficiale. Secondo gli esperti, oltre 150 milioni di utenti erano già stati colpiti al momento della scoperta. A febbraio, il ricercatore di sicurezza Lukas Stefanko di ESET ha scoperto malware per rubare criptovaluta su sistemi Android dirottando i pagamenti impersonando MetaMask sul Google Play Store ufficiale.
“Quello che possiamo imparare da tutta questa storia è che tutte le app (anche quelle che provengono da app store ufficiali che godono di un’ottima reputazione o di milioni di recensioni positive e che vantano un gran numero di utenti) possono trasformarsi all’improvviso in malware. La linea di separazione tra un’app dannosa e una legittima a volte è costituita solo da un aggiornamento. Per essere sicuri di non trovarvi mai in situazioni spiacevoli, utilizzate un antivirus affidabile per Android ed eseguite una scansione al vostro telefono di tanto in tanto” è la conclusione dei ricercatori Kaspersky.
