Četrtek, 29. 8. 2019, 11.04
5 let, 3 mesece
Legitimna aplikacija je postala leglo zlonamerne opreme
Imate na svojem androidu to aplikacijo? Raje jo takoj umaknite!
Aplikacija, ki jo je (dokler je bila še "zdrava") preneslo več kot sto milijonov uporabnikov, je v novejših različicah začela razširjati zlonamerno programje prek oglaševalske knjižnice zunanjega ponudnika.
Aplikacija CamScanner, ki se pojavlja z dvema malo različnima imenoma (CamScanner — Phone PDF Creator ali CamScanner-Scanner to scan PDFs), deluje na mobilnih napravah z operacijskim sistemom Android in je namenjena ustvarjanju datotek PDF, tudi s pomočjo prepoznave besedila (OCR, Optical Character Recognition).
Vsake nadgradnje ne utegnejo preveriti enako dosledno
Njene starejše različice so bile povsem varne, a so v novejših, tudi prek uradne programske tržnice Google Play, inženirji računalniške varnosti družbe Kaspersky Lab odkrili zlonamerno programsko opremo.
Če se sprašujete, kako je mogoče, da na uradno tržnico pridejo okuženi programi, je odgovor žal znan že nekaj časa. Res je, da Google intenzivno preverja aplikacije pred prvo uvrstitvijo, a je res tudi, da tržnica Google Play prejme milijone novih aplikacij in še več nadgradenj starih.
Pod takšnim pritiskom se pač zgodi, da aplikacije, ki so ob uvrstitvi prestale varnostni pregled, ne pregledujejo enako dosledno pri vsaki naslednji nadgradnji.
Stari znanec v novi zasedi
CamScanner je od začetka legitimno predvajal oglase med izvajanjem in omogočal nakupe v aplikaciji, kar je bilo jasno opredeljeno.
Toda novejše različice imajo oglaševalsko knjižnico zunanjega ponudnika AdHub, znotraj katere je zlonamerni modul. Gre za trojanca, ki so ga pri Kasperskem poimenovali Trojan-Dropper.AndroidOS.Necro.n in s katerim so se že srečali v nekaterih aplikacijah, nameščenih že pred nakupom manj znanih kitajskih znamk mobilnih telefonov.
Nekaterim uporabnikom se je zdelo, da nekaj ni prav
Ta trojanec sproži drug zlonamerni program znotraj kriptirane arhivske datoteke, katerega namen je odvisen od vsakokratnih želja napadalcev, so pojasnili inženirji računalniške varnosti družbe Kaspersky Lab. V nekaterih primerih so zaznali module za vsiljivo prikazovanje oglasov, v nekaterih drugih pa prisilno prijavo na plačljive naročnine.
Google je takoj po odkritju družbe Kaspersky Lab aplikacijo odstranil, a so očitno že pred tem uporabniki zaznali sumljiva dejanja programa, kar so tudi opisali v svojih komentarjih ob opisu aplikacije na tržnici Google Play.
Hudič ne počiva
Najnovejša različica naj bi bila že očiščena, zatrjuje razvijalec, a previdnost ni nikoli odveč. Žal to ni prvi primer (in gotovo tudi ne zadnji), da je nekoč legitimna aplikacija s številnimi pozitivnimi mnenji vmes "zbolela", zato je skrb za ustrezno varnost pomembna tudi tam, kjer je na videz vse varno.
2