Tra le migliaia di applicazioni disponibili per dispositivi Android, i software che permettono di effettuare scansioni di documenti cartacei hanno acquisito una certa popolarità. Fra questi, spicca di certo CamScanner: un titolo disponibile ormai da diversi anni, ideale per trasformare in digitale tutti i propri documenti, semplicemente approfittando della fotocamera del proprio device. Negli ultimi giorni, però, i ricercatori di Kaspersky hanno rilevato una minaccia malware all'interno dell'applicazione: una notizia certamente preoccupante, considerando come CamScanner sia stata installata su milioni di device in tutto il mondo.
La scoperta
Così come già accennato, e confermato da XDA-Developers, il malware celato all'interno di CamScanner è stato individuato dai ricercatori di Kaspersky. Gli esperti si sono insospettiti nel notare un aumento repentino delle recensioni negative su Play Store, da utenti pronti a segnalare delle "feature non volute", e hanno quindi deciso di analizzare il codice dell'applicazione.
Dall'analisi è emersa la presenza di una libreria per l'advertising, contenente un componente malevolo, chiamato Trojan-Dropper.AndroidOS.Necro,n. Stando a quanto specificato, quando l'applicazione è aperta il malware scarica dei moduli aggiuntivi, che alterano le normali funzionalità del device: in particolare compromettendo la navigazione con pubblicità invasive e ossessive, ma anche con tentativi di sottrarre denaro agli utenti tramite servizi in abbonamento.
Il codice malevolo è stato rinvenuto nelle versioni più recenti di CamScanner, a partire dalla 5.11.3.20190616 del 17 giugno fino alla 5.12.0.20190725 del 25 luglio. L'edizione 5.12.0.20190730 del primo agosto, invece, non sembra contenere il malware in questione.
L'intervento di Google
Come conseguenza della scoperta del codice malevolo, Kaspersky ha avvisato tempestivamente Google. La società statunitense ha quindi deciso di rimuovere CamScanner dal Play Store, bloccandone il download dal negozio di applicazioni incluso in Android, sebbene tramite browser la relativa pagina sia ancora attiva. Al momento non è dato sapere se, rimosso il malware, l'applicazione sarà riammessa sullo store.
Considerando come globalmente il software sia stato scaricato più di 100 milioni di volte, gli esperti di sicurezza consigliano di eliminare l'applicazione dei propri device, per poi eseguire una scansione profonda con uno dei più noti antivirus e antimalware per piattaforme Android.
Contestualmente, in molti - in particolare sui social network - si domandano come l'applicazione sia riuscita a superare i controlli del Play Store, considerando come Google effettui delle scansioni apposite proprio alla ricerca di codice malevolo oppure di funzioni potenzialmente dannose per gli utenti.
Le spiegazioni
Contemporaneamente all'intervento di Google, gli sviluppatori di CamScanner hanno rilasciato una breve nota sul loro sito ufficiale, sottolineando la loro estraneità ai fatti. Il malware infatti sarebbe stato contenuto all'interno di una SDK pubblicitaria di terze parti.
Cari utenti CamScanner su Android, il nostro team ha recentemente scoperto che l'SDK pubblicitario fornito da una terza parte, chiamato AdHub e integrato nella versione Android 5.11.7, è stato segnalato per aver integrato un modulo malevolo capace di produrre click non autorizzati a scopi pubblicitari. L'inserimento di qualsiasi codice sospetto viola la CamScanner Security Policy.
Adiremo immediatamente le vie legali contro Adhub. Fortunatamente, dopo alcuni controlli di sicurezza, non abbiamo trovato prove sull'eventuale sottrazione di dati da parte del modulo. Abbiamo rimosso tutte le SDK pubblicitarie non certificate da Google Play e una nuova versione verrà rilasciata. [...] Apprezziamo la vostra pazienza e la vostra comprensione.