Ερευνητές από την Kaspersky Lab δήλωσαν ότι βρήκαν μια εφαρμογή με 100 εκατομμύρια λήψεις που φιλοξενούσε μια κακόβουλη λειτουργική μονάδα η οποία έστελνε διαφημίσεις ή κατέβαζε παράνομα εφαρμογές στις παραβιασμένες Android συσκευές.
Το κακόβουλο στοιχείο βρέθηκε από τους ερευνητές μετά την ειδοποίησή τους για «ύποπτη συμπεριφορά» στην ελεύθερη έκδοση της δημοφιλούς scanning εφαρμογής CamScanner μετά από μια πληθώρα αρνητικών σχολίων από χρήστες σχετικά με την εγκυρότητά της.
«Το CamScanner ήταν στην πραγματικότητα μια νόμιμη εφαρμογή, χωρίς κακόβουλες ενέργειες, εδώ και αρκετό καιρό», σημειώνει η Kaspersky. «Χρησιμοποίησε διαφημίσεις για δημιουργία εσόδων ενώ άρχισε να επιτρέπει αγορές εντός εφαρμογής. Ωστόσο, σε κάποιο σημείο, αυτό άλλαξε και οι πρόσφατες εκδόσεις της εφαρμογής αποστέλλουν διαφημίσεις που περιέχουν μια κακόβουλη ενότητα.»
Αυτή η ενότητα – αναγνωρισμένη ως Trojan-Dropper.AndroidOS.Necro.n – είναι ένα trojan dropper, που σημαίνει ότι μπορεί να εξαγάγει και να εκτελέσει ένα δεύτερο κακόβουλο στοιχείο κρυπτογραφημένο μέσα στην εφαρμογή. Αυτό το trojan downloader μπορεί να χρησιμοποιηθεί για να μολύνει τις συσκευές με άλλα είδη κακόβουλου λογισμικού.
Οι ερευνητές της Kaspersky διαπίστωσαν ότι όταν εκτελείται το CamScanner, το dropper αποκρυπτογραφήθηκε και εκτέλεσε κακόβουλο κώδικα που περιέχεται σε ένα αρχείο «mutter.zip» μέσα στην εφαρμογή, προτού κατεβάσει κρυπτογραφημένο κώδικα από ένα διακομιστή εντολών και ελέγχου «https: //abc.abcdserver [ .] com. »
«Οι παραπάνω λειτουργίες Trojan-Dropper.AndroidOS.Necro.n εκτελούν τη κύρια λειτουργία του κακόβουλου λογισμικού: λήψη και εκκίνηση ενός φορτίου από κακόβουλους διακομιστές», ανέφεραν οι ερευνητές. «Ως αποτέλεσμα, οι ιδιοκτήτες της μονάδας μπορούν να χρησιμοποιήσουν μια μολυσμένη συσκευή προς όφελός τους με οποιονδήποτε τρόπο κρίνουν κατάλληλο, όπως κλέβοντας χρήματα από τον λογαριασμό του θύματος ή χρεώνοντας συνδρομές επί πληρωμή».
Η Google κατάργησε την εφαρμογή από το Play Store, μετά την δημοσιοποίηση των ευρημάτων της Kaspersky, αλλά οι προγραμματιστές της εφαρμογής επιβεβαιώνουν ότι αφαίρεσαν τον κακόβουλο κώδικα στην πιο πρόσφατη ενημέρωσή τους.
Πηγή: secnews.gr
