Durante algún tiempo, un práctico creador de PDF y una aplicación de reconocimiento óptico de caracteres (OCR) disponible a través de Google Play ofrecieron a los usuarios utilidad y conveniencia. La aplicación, descargada más de 100 millones de veces, se llama CamScanner y permite a los propietarios de teléfonos Android tomar una foto de una página de texto, convertirla en PDF e incluso usar OCR para convertir el documento en texto editable.
Pero lo que comenzó como una gran aplicación se convirtió en algo desagradable, según los investigadores de Kaspersky. Informan que CamScanner originalmente no tenía intención maliciosa. Sin embargo, en algún momento no especificado, el editor de la aplicación se volvió pícaro.
Los investigadores de Kasperky dijeron que una revisión de una versión anterior de la aplicación reveló una biblioteca de publicidad que contiene un módulo malicioso. Ese módulo contenía malware dropper llamado Trojan-Dropper.AndroidOS.Necro.n. Ese dropper "extrae y ejecuta otro módulo malicioso de un archivo cifrado incluido en los recursos de la aplicación", según un informe sobre el malware publicado el martes .
"Cuando se ejecuta la aplicación, dropper descifra y ejecuta el código malicioso contenido en el archivo mutter.zip en los recursos de la aplicación", escribió Kaspersky. “A continuación, se descifra el archivo de configuración con el nombre 'comparación'. Una vez que lo desciframos, obtenemos ... configuración (es) con las direcciones de los servidores de los atacantes. Dropper descarga un módulo adicional de las URL. Luego ejecuta su código ".
Un análisis posterior reveló que el dropper descarga módulos maliciosos adicionales basados en los caprichos de quienes están detrás de la aplicación. Algunos comportamientos no deseados observados incluyen la aplicación que suscribe a usuarios desprevenidos a servicios de suscripción pagados sin su consentimiento. Otra característica no deseada son los "anuncios intrusivos" que arrojan pantallas de usuario.
Los investigadores sospechan que los creadores de la aplicación pueden haberse asociado con un anunciante externo sin escrúpulos que puede ser responsable del comportamiento malicioso.
"Anteriormente, a menudo se encontraba un módulo similar en el malware preinstalado en los teléfonos inteligentes de fabricación china. Se puede suponer que la razón por la que se agregó este malware fue la asociación de los desarrolladores de la aplicación con un anunciante sin escrúpulos ”, dijo Kaspersky.
Kaspersky también informa que la última versión de la aplicación se ha actualizado y no incluye el componente malicioso. "Sin embargo, tenga en cuenta que las versiones de la aplicación varían para diferentes dispositivos, y algunas de ellas aún pueden contener código malicioso" , escribieron los investigadores .
No está claro si la base de usuarios existente de usuarios de CamScanner se actualizará automáticamente a una versión libre de código malicioso.
Las revisiones de CamScanner publicadas en Google Play revelan muchos clientes satisfechos, sin embargo, es difícil ignorar las largas diatribas de los clientes que se sintieron engañados para gastar dinero en servicios de fax que nunca funcionaron.
“Me gustaba esta aplicación, pero ahora siento que me engañaron. No son buenos chicos ", escribió un usuario que se hace llamar" JM ".
Según el informe, Kaspersky notificó a Google sobre el componente publicitario malicioso (Trojan-Dropper.AndroidOS.Necro.n) y Google lo eliminó de inmediato.
Pero lo que comenzó como una gran aplicación se convirtió en algo desagradable, según los investigadores de Kaspersky. Informan que CamScanner originalmente no tenía intención maliciosa. Sin embargo, en algún momento no especificado, el editor de la aplicación se volvió pícaro.
Los investigadores de Kasperky dijeron que una revisión de una versión anterior de la aplicación reveló una biblioteca de publicidad que contiene un módulo malicioso. Ese módulo contenía malware dropper llamado Trojan-Dropper.AndroidOS.Necro.n. Ese dropper "extrae y ejecuta otro módulo malicioso de un archivo cifrado incluido en los recursos de la aplicación", según un informe sobre el malware publicado el martes .
"Cuando se ejecuta la aplicación, dropper descifra y ejecuta el código malicioso contenido en el archivo mutter.zip en los recursos de la aplicación", escribió Kaspersky. “A continuación, se descifra el archivo de configuración con el nombre 'comparación'. Una vez que lo desciframos, obtenemos ... configuración (es) con las direcciones de los servidores de los atacantes. Dropper descarga un módulo adicional de las URL. Luego ejecuta su código ".
Un análisis posterior reveló que el dropper descarga módulos maliciosos adicionales basados en los caprichos de quienes están detrás de la aplicación. Algunos comportamientos no deseados observados incluyen la aplicación que suscribe a usuarios desprevenidos a servicios de suscripción pagados sin su consentimiento. Otra característica no deseada son los "anuncios intrusivos" que arrojan pantallas de usuario.
Los investigadores sospechan que los creadores de la aplicación pueden haberse asociado con un anunciante externo sin escrúpulos que puede ser responsable del comportamiento malicioso.
"Anteriormente, a menudo se encontraba un módulo similar en el malware preinstalado en los teléfonos inteligentes de fabricación china. Se puede suponer que la razón por la que se agregó este malware fue la asociación de los desarrolladores de la aplicación con un anunciante sin escrúpulos ”, dijo Kaspersky.
Kaspersky también informa que la última versión de la aplicación se ha actualizado y no incluye el componente malicioso. "Sin embargo, tenga en cuenta que las versiones de la aplicación varían para diferentes dispositivos, y algunas de ellas aún pueden contener código malicioso" , escribieron los investigadores .
No está claro si la base de usuarios existente de usuarios de CamScanner se actualizará automáticamente a una versión libre de código malicioso.
Las revisiones de CamScanner publicadas en Google Play revelan muchos clientes satisfechos, sin embargo, es difícil ignorar las largas diatribas de los clientes que se sintieron engañados para gastar dinero en servicios de fax que nunca funcionaron.
“Me gustaba esta aplicación, pero ahora siento que me engañaron. No son buenos chicos ", escribió un usuario que se hace llamar" JM ".
Según el informe, Kaspersky notificó a Google sobre el componente publicitario malicioso (Trojan-Dropper.AndroidOS.Necro.n) y Google lo eliminó de inmediato.
