Una aplicación maliciosa para Android con más de 100 millones de descargas en Google Play

28 Ago 2019

Los investigadores de Kaspersky han descubierto recientemente un malware en una aplicación llamada CamScanner, un creador de PDF para teléfonos con reconocimiento óptico de caracteres y que cuenta con más de 100 millones de descargas en Google Play. Según la fuente, el nombre puede variar un poco: CamScanner – Phone PDF Creator o CamScanner-Scanner to scan PDFs.

Las tiendas de aplicaciones oficiales como Google Play están consideradas como un lugar seguro para descargar software. Pero, por desgracia, nada es 100 % seguro y de vez en cuando los distribuidores de malware consiguen colar sus aplicaciones en Google Play.

El problema es que ni siquiera una empresa tan potente como Google puede comprobar minuciosamente millones de aplicaciones. Ten en cuenta que la mayoría de las aplicaciones se actualizan de forma regular, por lo que el trabajo de los moderadores de Google Play nunca se acaba.

CamScanner ha sido una aplicación legítima y sin intenciones maliciosas durante bastante tiempo. Para sacar rentabilidad, los creadores utilizaban la publicidad e incluso permitían las compras desde la misma aplicación. No obstante, eso cambió y las últimas versiones de la aplicación incluían una biblioteca con un módulo malicioso.

Los productos de Kaspersky detectaron este módulo como Trojan-Dropper.AndroidOS.Necro.n, que ya hemos visto en algunas aplicaciones preinstaladas en smartphones chinos. Como el mismo nombre sugiere, se trata de un Trojan_Dropper, es decir, el módulo extrae y ejecuta otro módulo malicioso de un archivo cifrado incluido en los recursos de la aplicación. Este malware es a su vez un Trojan Downloader que descarga más módulos maliciosos dependiendo de las intenciones de los creadores en ese momento.

Por ejemplo, una aplicación con este código malicioso puede mostrar anuncios intrusivos y registrar a los usuarios en suscripciones de pago.

Algunos usuarios de la aplicación CamScanner ya han detectado un comportamiento sospechoso y han dejado sus valoraciones en la página de la aplicación en Google Play con advertencias para que otros usuarios no ejecuten la descarga.

Los investigadores de Kaspersky examinaron una versión reciente de la aplicación y descubrieron el módulo malicioso. Informamos de nuestro descubrimiento a Google, que eliminó rápidamente la aplicación de Google Play.

Parece que los desarrolladores de la aplicación se deshicieron del código malicioso con la última actualización de CamScanner. Sin embargo, ten en cuenta que las versiones de la aplicación varían según el dispositivo y que alguna todavía podría contener el código malicioso.

La conclusión que podemos extraer de esta historia es que cualquier aplicación puede contener malware, aunque provenga de una tienda oficial, goce de una buena reputación y haya recibido millones de valoraciones positivas y cuente con una base fiel de usuarios. Para evitar este problema, utiliza un antivirus de confianza para Android y analiza tu smartphone de vez en cuando. (La versión de pago de Kaspersky Internet Security for Android realiza este análisis de forma automática).