Специалисты «Лаборатории Касперского» обнаружили в Google Play троян-загрузчик Necro.n с более 100 млн загрузок. По их словам, изначально приложение было безопасным, а вредоносные функции добавил сторонний разработчик.

Программа, привлекшая экспертов, CamScanner — Phone PDF creator, сканирует и распознает документы. За последний месяц на ее странице в Google Play появилось множество жалоб на сторонние платные подписки, появляющиеся после установки приложения.

Эксперты изучили одну из актуальных версий CamScanner и обнаружили рекламную библиотеку, знакомую им по предустановленным зловредам в некоторых смартфонах, произведенных в Китае. Этот модуль распаковывает код из ZIP-архива, который хранился во внутренних ресурсах приложения. Далее троян расшифровывал конфигурационный файл с адресами управляющих серверов и загружал с них полезную нагрузку.

Специалисты отмечают, что это позволяет злоумышленникам в любой момент менять предназначение трояна. В результате пользователи CamScanner могли не только лишиться денег из-за платных подписок, но и заразиться шпионским ПО, шифровальщиком или другим вредоносным софтом.

В настоящий момент скомпрометированный сканер документов удален из каталога Google Play.

Ранее стало известно о появлении в Google Play шпионского трояна, который маскировался под интернет-радио и чьи авторы смогли вернуть его в магазин после удаления.

Категории: Вредоносные программы, Главное, Мошенничество