Schadelijke Android-app meer dan 100 miljoen keer gedownload via Google Play

september 12, 2019

Onderzoekers van Kaspersky hebben onlangs malware ontdekt in de app CamScanner, een PDF-maker voor mobiel gebruik die gebruikmaakt van OCR (optische tekenherkenning) en meer dan 100 miljoen keer gedownload is via Google Play. Er bestaan verschillende vergelijkbare namen voor de app, zoals CamScanner — Phone PDF Creator en CamScanner-Scanner, om pdf’s te scannen.

Officiële app-stores zoals Google Play worden normaal gesproken als een veilige omgeving beschouwd voor het downloaden van software. Helaas is niets 100% veilig, en zo nu en dan lukt het verspreiders van malware om hun apps Google Play binnen te laten glippen.

Het probleem is dat zelfs een enorm bedrijf zoals Google niet alle miljoenen apps zorgvuldig kan controleren. Houd er rekening mee dat de meeste van deze apps regelmatig worden geüpdatet, dus het werk van de moderators bij Google Play is nooit klaar.

CamScanner was in eerste instantie geruime tijd een legitieme app, zonder kwaadaardige bedoelingen. De app maakte gebruik van advertenties voor inkomsten en er waren zelfs in-app aankopen mogelijk. Maar op een bepaald moment veranderde dit, en recente versies van de app werden verspreid met een app-bibliotheek die een schadelijke module bevatte.

Kaspersky-producten detecteren deze module als Trojan-Dropper.AndroidOS.Necro.n, wat we hebben gezien in sommige apps die vooraf geïnstalleerd waren op Chinese smartphones. Zoals al blijkt uit de naam, is deze module een Trojan Dropper. Dit betekent dat de module wordt uitgepakt en een andere schadelijke module runt van een versleuteld bestand dat in de bestanden van de app zit. Deze ‘losgelaten’ malware is op zijn beurt een Trojan Downloader die meer schadelijke modules downloadt, afhankelijk van wat de makers ervan op dat moment van plan zijn.

Een app met deze schadelijke code kan bijvoorbeeld opdringerige advertenties tonen en gebruikers aanmelden voor betaalde abonnementen.

Sommige gebruikers van de CamScanner-app hebben al verdacht gedrag opgemerkt en beoordelingen achtergelaten op de Google Play-pagina met daarin waarschuwingen om de app te vermijden.

Onderzoekers van Kaspersky onderzochten een recente versie van de app en vonden zo de schadelijke module. We meldden onze bevindingen aan Google, en de app werd al snel van Google Play verwijderd.

Het lijkt erop dat de ontwikkelaars van de app de schadelijke code hebben verwijderd in de laatste update van CamScanner. Houd er echter rekening mee dat de versies van de app voor verschillende apparaten verschillen, en sommige kunnen nog altijd de schadelijke code bevatten.

Wat we hiervan kunnen leren, is dat elke app, zelfs als die is gedownload via een officiële winkel met een goede reputatie en miljoenen positieve beoordelingen en een grote, trouwe user base heeft, zo in een nacht tijd in malware kan veranderen. Elke app is slechts één update verwijderd van een enorme verandering. Om dit soort problemen te voorkomen, is het belangrijk om een betrouwbaar antivirusprogramma voor Android-apps te gebruiken en uw smartphone regelmatig te scannen. (De betaalde versie van Kaspersky Internet Security for Android scant automatisch.)