下载破亿的知名安卓App「CamScanner」遭爆含有特洛伊木马
本帖最后由 zxcnny930 于 2019-8-29 13:28 编辑最近,流行的CamScanner - 手机PDF创建者应用引起了我们的注意。 据Google Play称,它的安装次数已超过1亿次。 开发人员将其定位为扫描和管理数字化文档的解决方案,但过去一个月留下的负面用户评论表明存在不需要的功能。
在分析应用程序后,我们看到其中包含恶意dropper组件的广告库。 以前,在中国制造的智能手机上预装的恶意软件中经常会发现类似的模块。 可以假设添加此恶意软件的原因是应用开发者与不道德的广告客户的合作关系。卡巴斯基解决方案将此恶意组件检测为Trojan-Dropper.AndroidOS.Necro.n。 我们向Google公司报告了我们的调查结果,该应用程序已立即从Google Play中删除。
关于Necro.n的技术细节
当应用程序运行时,dropper会解密并执行app资源中mutter.zip文件中包含的恶意代码。
接下来,解密名称为“comparison”的配置文件。
解密后,我们使用攻击者服务器的地址获取以下配置。
{
"hs": {
"server": "https://abc.abcdserver[.]com:8888",
"default": "https://bcd.abcdserver[.]com:9240",
"dataevent": "http://cba.abcdserver[.]com:8888",
"PluginServer": "https://bcd.abcdserver[.]com:9240"
},
….
}
Dropper从这些URL下载其他模块:
然后它执行其代码:
上述Trojan-Dropper.AndroidOS.Necro.n功能执行恶意软件的主要任务:从恶意服务器下载并启动有效负载。 因此,该模块的所有者可以以他们认为合适的任何方式使用受感染的设备,从显示受害者侵入性广告到通过向付费订阅收取移动帐户中的资金。
直接线上翻译
原文在此https://securelist.com/dropper-in-google-play/92496/
xiaojiang_320 发表于 2019-8-29 17:10
我昨天还用了这个软件啊,也没有广告弹出来啊,logo是个大大的CS,不知道我们说的是不是一个软件啊
这我不清楚了
毕竟这是两天前的新闻
可能是被发现之后,病毒的接口都被关闭了,所以才没有大量广告 xiaojiang_320 发表于 2019-8-29 16:54
对咱么普通用户有啥影响吗?烦请楼主科普一下啊
软体会有大量恶意广告...
这个木马本身就是让广告商赚钱用的
或者是会被直接盗刷订阅内容
我身边朋友告诉我她也觉得最近打开的时候广告特别多 这是扫描全能王吧,我还用过 苹果安卓都用的这个,每个版本都有木马吗 骆小乐 发表于 2019-8-29 13:38
这是扫描全能王吧,我还用过
应该吧 我不确定中国叫什么名字 真可怕,我每次换手机都是留着它 yzy93 发表于 2019-8-29 13:42
苹果安卓都用的这个,每个版本都有木马吗
目前看起来只有安卓 lqq197 发表于 2019-8-29 13:45
真可怕,我每次换手机都是留着它
似乎是合作的广告商恶意植入的
跟app本身没关系 要不要卸载?不使用的话会不会有问题? 是真的假的不会真有问题吧 我手机此时此刻还保存有此软件