مراقب باشید! CamScanner یک اپلیکیشن بسیار معروف برای ساخت فایل PDF در گوشی است که بیش از صد میلیون بار در Google Play Store دانلود شده است؛ در صورت استفاده از نسخه رایگان این برنامه مهاجمان می‌توانند به سیستم اندرویدی شما نفوذ کرده و اطلاعات ذخیره شده در آن را بربایند.

بنابراین جهت ایمن‌سازی کافی است برنامه CamScanner را از دستگاه Android خود حذف کنید، زیرا Google نیز قبلاً این برنامه را از Play Store رسمی خود حذف کرده است.

متاسفانه CamScanner اخیرا از کنترل خارج شده است زیرا محققان یک ماژول پنهان Trojan Dropper در آن پیدا کرده‌اند که به مهاجمین از راه دور امکان می‌دهد که بدون اطلاع کاربر، برنامه‌های مخرب را دانلود و بر روی سیستم اندرویدی کاربر نصب کنند.

هرچند، ماژول مخرب داخل خود برنامه اندرویدی CamScanner قرار ندارد؛ در عوض بخشی از کتابخانه تبلیغاتی شخص ثالث است که اخیرا در برنامه ساخت فرمت PDF معرفی شده است.

این مسئله توسط محققان امنیتی Kaspersky پس از آن آشکار شد که بسیاری از کاربران CamScanner متوجه رفتار مشکوک این اپلیکیشن شدند و طی چند ماه گذشته در Google Play Store نظراتی منفی توسط کاربران ثبت شد که این نشانگر وجود یک ویژگی ناخواسته بود.

محققان اظهار داشتند: «می‌توان فرض کرد که  دلیل اضافه شدن این بدافزار، مشارکت برنامه‌نویسان این برنامه با یک عامل تبلیغاتی بی‌توجه بوده است.»

تجزیه و تحلیل ماژول  مخرب Trojan Dropper نشان داد که این جزء قبلا در برخی از برنامه‌های از پیش نصب شده بر روی تلفن‌های هوشمند چینی نیز مشاهده شده است.

محققان هشدار دادند: «این ماژول از یک فایل رمزگذاری شده موجود در برنامه، ماژول مخرب دیگری را استخراج و اجرا می‌کند.»

«در نتیجه صاحبان این ماژول می‌توانند از هر دستگاه آلوده به نفع خود استفاده کنند؛ از نمایش تبلیغات مزاحم گرفته تا سرقت پول از حساب موبایل قربانی با شارژ اشتراک‌های پولی.»

محققان Kaspersky یافته‌های خود را به گوگل گزارش دادند که در پی آن گوگل بلافاصله برنامه CamScanner را از Play Store حذف کرد، اما محققان می‌گویند: «به نظر می‌رسد توسعه‌دهندگان برنامه در آخرین بروزرسانی CamScanner، کد مخرب را حذف کرده‌اند.»

با این وجود به توصیه محققان، کاربران باید به در نظر داشته باشند که «نسخه‌های برنامه برای دستگاه‌های مختلف متفاوت است و برخی از آن‌ها هنوز ممکن است شامل برنامه مخرب باشند.»

لازم به ذکر است از آنجایی که نسخه پولی CamScanner شامل کتابخانه تبلیغاتی شخص نمی‌باشد و در نتیجه تحت تاثیر ماژول مخرب نیست و هنوز در Google Play Store قابل دسترسی است.

اگرچه گوگل در سال‌های اخیر تلاش‌های خود را برای حذف برنامه‌های مضر احتمالی Play Store افزایش داده و بررسی‌های سخت‌گیرانه‌تری برای برنامه‌های جدید اضافه کرده است، برنامه های قانونی می‌توانند به یکباره از کنترل خارج شوند و میلیون‌ها کاربر را مورد هدف قرار دهند.

محققان نتیجه گرفتند: «آن‌چه از این اتفاق می‌توانیم یاد بگیریم این است که هر اپلیکیشنی – حتی اگر در فروشگاه‌های رسمی ارائه گردد، معروف باشد و صدها نظر مثبت داشته باشد یا کاربران زیاد و همیشگی داشته باشد – می‌تواند یک شبه تبدیل به بدافزار گردد.»

بنابراین به کاربران توصیه می‌شود که همیشه یک برنامه آنتی ویروس خوب را در دستگاه Android خود نگه دارند که بتواند قبل از آلوده شدن دستگاه شما، چنین فعالیت‌های مخرب را تشخیص داده و مسدود کند.

علاوه بر این، همیشه بررسی‌های سایر کاربران که برنامه را دانلود کرده‌اند را بررسی کنید و همچنین مجوزهای هر برنامه را قبل از نصب آن تأیید کنید و فقط به دسترسی‌هایی مجوز بدهید که مرتبط با اهداف برنامه هستند.

برای اطلاعات فنی بیشتر در مورد بدافزار Trojan Dropper که در CamScanner  پیدا شده است و لیست کاملی از indicators of compromiseهای (IOCs) برنامه شامل هش‌های MD5 ، دستورات و دامنه‌های سرور کنترل آن‌ها، می‌توانید به گزارش Kaspersky مراجعه کنید.