摘要:
CamScanner,中文名爲“掃描全能王”,它是全球知名的手機掃描應用軟件。CamScanner很受歡迎,其全球下載用戶超過3.7億人,遍佈200多個國家和地區,它甚至被《時代週刊》評爲“全球最佳50款移動應用App”。但是,來自卡巴斯基的安全專家近日發現,掃描全能王App的安卓免費版本內含惡意軟件。
CamScanner(掃描全能王)——官方這樣介紹它:超過3.7億人使用的智能手機掃描儀。它功能強大,可以自動切除文檔背景,生成高清PDF、JPEG或TXT文本,還可以通過郵件發送、連接打印機、發傳真、發微信、存到雲端,多設備進行查看。在谷歌應用商店,掃描全能王的下載量超過1億次。
據Securityaffairs報道,卡巴斯基的專家發現,掃描全能王的安卓免費版本中有惡意軟件,攻擊者可以使用它遠程攻擊安卓設備並竊取目標數據。目前,谷歌已經從應用商店中刪除了掃描全能王的免費版本,Securityaffairs稱用戶也應該立即從他們的安卓設備上卸載該應用程序。
筆者從谷歌應用商店搜索“CamScanner”,發現其免費版本已經找不到,只有CamScanner(License)付費版,售價1.99美元。
據悉,惡意軟件研究人員在這款App中發現一個Trojan Dropper模塊,遠程攻擊者可利用該模塊下載和安裝惡意負載,無需用戶任何操作。這個模塊隱藏在APP開發者最近引入的第三方廣告庫中。
卡巴斯基的分析寫道,
“在分析這款App後,我們發現其中一個包含惡意dropper組件的廣告庫。以前,中國製造的智能手機上預裝的惡意軟件會經常發現類似的模塊。可以假設添加此惡意軟件的原因是應用開發者與不道德的廣告客戶的合作關係。”
卡巴斯基還公佈了相關技術細節:
當應用程序運行時,dropper會解密並執行app資源mutter.zip文件包含的惡意代碼
接下來,解密名稱爲“comparison”的配置文件
解密後,我們使用攻擊者服務器的地址獲取以下配置
Dropper從這些URL下載其他模塊:
然後執行其代碼
“卡巴斯基將此模塊檢測爲Trojan-Dropper.AndroidOS.Necro.n,我們在中國智能手機上預裝的一些應用程序中看到這一點。顧名思義,該模塊是Trojan Dropper。這意味着,該模塊從應用程序資源中包含的加密文件中提取並運行另一個惡意模塊,”卡巴斯基研究人員分析,“反過來,這個‘dropped’惡意軟件是一個特洛伊木馬下載程序,可以下載更多惡意模塊,具體取決於其創建者的情況。”
在谷歌從應用商店刪除掃描全能王App後,該應用程序開發人員進行了更新,從應用程序中刪除了惡意代碼。研究人員警告說,應用程序的版本因不同的設備而不同,其中一些可能仍然包含惡意軟件。
付費版本如果APP中不包含第三方廣告庫,這意味着它不含惡意軟件,因此谷歌尚未將其從商店中刪除。這也符合筆者在谷歌應用商店的搜索結果。
隨後,CamScanner進行了官方迴應:
“我們的CamScanner團隊最近發現,由安卓5.11.7版本中集成的名爲AdHub第三方提供的廣告SDK,其中包含可能產生未經授權的廣告點擊的惡意模塊。注入任何可疑代碼都違反了CamScanner的安全策略!我們將立即對Adhub採取法律行動!幸運的是,經過幾輪安全檢查,我們沒有發現任何證據表明該模塊可能導致文檔數據泄露。我們已經移除未經Google Play認證的所有廣告SDK,並將發佈新版本。”
很快,推特上一大波網友跳出來,有個網友說,“對CamScanner用戶來說,這是‘好消息’。我已經知道這件事,這就是爲什麼我用Adobe scan。”也有網友稱,“每個應用都有一個‘隱藏的惡意軟件’,包括谷歌自己。但這取決於如何描述‘隱藏的惡意軟件’。”
外媒Securityaffairs指出,從谷歌應用商店分發的其他受感染應用已經成爲頭條新聞。
2月份,ESET安全研究員Lukas Stefanko發現了第一款在谷歌應用商店冒充MetaMask以太坊輕錢包的惡意軟件;
3月份,Check Point研究人員發現一個複雜的惡意軟件活動,它通過谷歌應用商店傳播SimBad代理。據專家介紹,發現該惡意軟件活動時,有超過1.5億用戶受到影響。
上週,ESET研究人員在Google Play中發現了首款基於AhMyth的間諜軟件。這款惡意軟件名爲Radio Balouch,又名RB Music,是一款爲Balouchi音樂愛好者提供流媒體廣播的應用程序,不過它也有一個致命的缺陷—竊取用戶個人數據。這款應用曾兩次潛入安卓官方應用商店。
卡巴斯基研究人員總結道,“從這個事件中,我們學到的是,任何應用程序——即使是官方應用商店的,甚至是一個聲譽良好的應用程序,乃至一款擁有數百萬正面評論和忠實用戶羣的APP,都可能一夜之間變成惡意軟件。”
相關文章:
https://securityaffairs.co/wordpress/90454/malware/camscanner-app-malware.html
https://securelist.com/dropper-in-google-play/92496/