headless 曰く、

Google Playでダウンロード件数が1億回を超えるアプリの最近のバージョンにマルウェアが混入し、公開が停止されている(Kaspersky公式ブログの記事、 Kaspersky Securelistの記事、 Android Policeの記事、 CamScannerの告知ページ)。

このアプリ「CamScanner - Scanner to scan PDF」はスマートフォンのカメラをドキュメントスキャナーとして用い、PDFを生成するというものだ。Kasperskyによれば元は特に問題のないアプリだったが、最近のバージョンでは広告ライブラリを通じてドロッパーが組み込まれていたという。

Kaspersky製品がTrojan-Dropper.AndroidOS.Necro.nとして検出するこのドロッパーは、アプリが起動するとアプリのリソースに含まれるZIPファイルに含まれるコードを展開・実行し、攻撃者のサーバーから追加のコードをダウンロードして実行する。CamScannerでドロッパーが具体的に何をしていたのかについては書かれていないが、侵襲的な広告を表示したり、有料サブスクリプションを登録して携帯電話のアカウントに課金したりといったことも可能とのこと。

Google Playからは既に削除されているが、8月26日に取得されたアプリページのGoogleキャッシュが残っていることから、最近まで公開されていたらしい。ただし、Android Policeの調査によると、マルウェアが混入していたのは6月17日公開のバージョン5.11.3.20190616から7月25日公開のバージョン5.12.0.20190725までで、削除時点で公開されていたバージョンは安全だったようだ。

CamScannerの告知によれば、Android版のバージョン5.11.7に組み込んだAdHubという広告SDKに広告クリックを発生させる悪意あるモジュールが見つかったそうだ。調査の結果、モジュールがドキュメントのデータを流出させた形跡は見つからなかったという。CamScannerではGoogle Playで認定されないすべての広告SDKを削除しており、最新版のAPKをダウンロード提供する一方、Google Playでも再公開できると見込んでいる。