Ancora malware nell’app store di Google Play. Questa volta a scoprirla sono stati alcuni ricercatori di Kaspersky Lab, i quali hanno individuato un’applicazioni da 100 milioni di download che conteneva un modulo di annunci dannoso. In pratica, all’interno del dispositivo Android, oltre agli annunci, veniva installata di nascosto un’applicazione pericolosa.
L’applicazione posta sotto la lente d’ingrandimento è CamScanner, dopo che molti utenti hanno segnalato comportamenti sospetti della versione gratuita, insieme a varie recensioni negative. Inizialmente, CamScammer non ha mai dato problemi di sorta, consentendo anche acquisti in-app. Poi, ad un certo punto, tutto è cambiato e le ultime versioni contenevano annunci pubblicitari arbitrari e un modo dannoso.
Il modulo, un Trojan-Dropper.AndroidOS.Necro.n, è un dropper trojan, capace di estrarre ed eseguire un secondo componente dannoso nascosto all’interno dell’applicazione. Una volta installato all’interno del dispositivo Android, il trojan lo infetta con altre tipologie di malware. I ricercatori hanno scoperto che, una volta eseguito CamScanner, il codice dannoso contenuto in un file “mutter.zip” viene eseguito e decodificato.
Il lavoro fatto dal Trojan-Dropper.AndroidOS.Necro.n è semplice: scaricare e avviare un payload da server dannosi, sfruttato dai proprietari del modulo a proprio vantaggio e nel modo che ritengono più opportuno: pubblicità intrusiva e furto di denaro dall’account mobile per pagare abbonamenti non voluti a piattaforme truffaldine.
Dopo l’indagine dei ricercatori del Kaspersky Lab, Google ha provveduto a rimuovere l’applicazione dal Play Store, anche se gli sviluppatori di CamScanner hanno provveduto a rimuovere il codice dannoso durante l’ultimo aggiornamento. Purtroppo, nonostante gli sforzi, spesso accade che i creatori di questi codici dannosi riescono nuovamente a mascherare in codice dannoso dietro le barriere della crittografia, riuscendo quindi ad aggirare il processo di verifica.
