La app CamScanner, con más de 100M de descargas, oculta un troyano
Actualización 28/8: CamScanner admite que su app contiene malware pero echa la culpa a otro. Leer más.
La seguridad de la tienda de aplicaciones por excelencia de Android, Google Play Store, vuelve a estar en entredicho después de que se haya descubierto que una aplicación muy popular con más de 100 millones de descargas contenía código malicioso.
La aplicación en cuestión se llama CamScanner y, durante un tiempo, fue una aplicación legítima que permitía escanear y almacenar documentos. De hecho, es posible que la hayas instalado alguna vez o que la tengas ahora mismo en tu smartphone, ya que la app fue publicitada en muchos sitios web. La app se financiaba gracias a anuncios y compras dentro de la aplicación.
Sin embargo, en un momento dado, las cosas cambiaron. Según explican investigadores del proveedor de antivirus Kaspersky Lab, la aplicación se actualizó para añadir una biblioteca de publicidad que contenía un módulo malicioso.
Este componente era lo que se conoce como un «Trojan dropper», lo que significa que descargaba regularmente código cifrado de un servidor designado por el desarrollador. Luego lo descifraba y lo ejecutaba en los dispositivos infectados.
El módulo malicioso podía descargar y ejecutar lo que los desarrolladores quisieran en cualquier momento. Los investigadores afirman que, en el pasado, han visto este mismo módulo malicioso en aplicaciones que venían preinstaladas en algunos teléfonos vendidos en China.
«Las funciones de Trojan-Dropper.AndroidOS.Necro.n llevan a cabo la tarea principal del malware: descargar y ejecutar código desde servidores maliciosos», explica Kaspersky Lab.
«Como resultado, los responsables del módulo pueden utilizar un dispositivo infectado para su beneficio de la forma que consideren adecuada, desde mostrar la publicidad intrusiva a la víctima hasta robar dinero de su cuenta móvil mediante el cobro de suscripciones pagadas».
Algunos usuarios ya llevaban tiempo avisando en Twitter de que la aplicación era detectada como un troyano por los antivirus, pero la compañía respondía pidiendo a los usuarios que actualizaran su software de antivirus (lo cual no servía de nada porque seguía apareciendo la alerta).
Completely updated AV / security software. Scanned your new Google Play app. Still comes up as HEUR:Trojan-Dropper.AndroidOS.Necro.n — please address this directly.
— Tim Ackermann (@NTxIP) August 23, 2019
My antivirus is up to date and camscaner also up to date…but this problem are not solve… Daily notified by my antivirus when are scanning process…😞😑 pic.twitter.com/U4zSrKB8ZP
— Tanmoy Mondal (@thetanmoymondal) August 25, 2019
I loce camscanner but I also trust av software so, please confrim there is no risk of trojan and we can skip the alert. (All downloaded from google app, xiaomi mi max 3, not rooted)
— ömerilefaruk (@Kakalamtahu) August 24, 2019
Como resultado de la investigación, Google ha procedido a eliminar inmediatamente la app de Play Store y, si tratas de acceder a ella, obtendrás un mensaje de aplicación no encontrada.
El incidente pone de manifiesto el reto al que se enfrentan los usuarios de Android cuando buscan aplicaciones útiles y seguras. Los mecanismos de seguridad de Google no pueden detectarlo todo, especialmente cuando los desarrolladores introducen código malicioso o poco ético en aplicaciones que ya han superado las inspecciones iniciales.
Una forma de detectar aplicaciones maliciosas es leer los comentarios dejados por otros usuarios. Los investigadores de Kaspersky Lab dijeron que las opiniones negativas del mes pasado «indicaban la presencia de características no deseadas» en CamScanner.
Nos hemos puesto en contacto con CamScanner para conocer su punto de vista frente a estas acusaciones y, tan pronto como tengamos una respuesta, actualizaremos este artículo.