悪意あるアプリに変貌したスキャナーアプリ

2019年8月28日

Kasperskyのリサーチャーは先日、「CamScanner」というアプリにマルウェアを発見しました。CamScannerはスマートフォン向けのPDF作成アプリで、OCR機能も備えており、Google Playでのダウンロード数は1億を超えています。

Google Playなど公式のアプリストアは、アプリを安全にダウンロードできる場所であると考えられています。ただ残念ながら、100%安全なものは存在しません。時には、マルウェアの拡散を狙う者がGoogle Playの中に自分たちのアプリを潜り込ませようとします

問題は、Googleのような強大な企業でさえも、何百万とあるアプリを徹底的にチェックすることはできないということです。アプリのほとんどが定期的に更新されることを考えると、Google Playでの審査は決して終わりの見えない作業です。

実のところCamScannerはかなり前から存在していますが、悪意ある意図など何もない正規のアプリでした。収益化のために広告を使っており、アプリ内課金もありました。しかし、ある時点で状況が変わり、最近のバージョンは悪意あるモジュールを含む広告ライブラリが入った状態で公開されていました。

Kasperskyの製品は、このモジュールを「Trojan-Dropper.AndroidOS.Necro.n」として検知します。これまでにも、中国製のスマートフォンにプリインストールされたアプリの中で似たようなモジュールが見つかっていました。このモジュールは、名前が示すようにドロッパー型トロイの木馬であり、アプリのリソースに含まれる暗号化されたファイルから悪意ある別のモジュールを抽出して実行します。こうして「ドロップ(投下)」されるマルウェアは、目的に応じて別の悪意あるモジュールをダウンロードするダウンローダー型トロイの木馬です。

したがって、この悪意あるコードを持つアプリは、たとえば押しつけがましい広告を表示して利用者を有料サービスに登録してしまうかもしれません。

CamScannerの利用者の中にはアプリの疑わしいふるまいに気付いた人たちがおり、Google Playのレビューページに、このアプリの使用を控えた方がいいとコメントを残していました。

KasperskyのリサーチャーがCamScannerの最近のバージョンを調べたところ、悪意あるモジュールが見つかりました(英語記事)。当社はこの件をGoogleに報告し、このアプリはGoogle Playから速やかに削除されました。

CamScannerの一番新しいアップデートでは、悪意あるモジュールが取り除かれているようです。それでも、インストールされているのがどのバージョンかはデバイスによって異なるので、悪意あるコードを含むバージョンがインストールされたままのデバイスもあるかもしれません。

今回の件からは、たとえ公式ストアから入手したアプリであっても、評判が良くても、高評価レビューが多く大勢のファンが付いていても、アプリが突然マルウェアに変貌する可能性があるということが分かります。それも、たった1回のアップデートで大きな変化を遂げることがあるのです。そうしたトラブルに巻き込まれないようにするには、信頼できるAndroid用セキュリティ製品を使用して、スマートフォンのスキャンを時々実行することをお勧めします。カスペルスキー インターネット セキュリティ for Androidの有料版の場合、スキャンは自動的に実行されます。