Kaspersky détecte un malware dans l’application CamScanner

27 Août 2019

Les chercheurs de Kaspersky ont récemment découvert un logiciel malveillant dans l’application CamScanner, un générateur de PDF sur téléphone qui utilise la technologie OCR (reconnaissance optique de caractères) téléchargé plus de 100 millions de fois sur Google Play. Plusieurs spécialistes lui donnent un nom légèrement différent tel que CamScanner, Phone PDF Creator ou encore CamScanner-Scanner pour scanner des PDF.

Généralement, les boutiques d’applications officielles comme Google Play sont considérées comme des lieux sûrs pour télécharger des logiciels. Malheureusement, rien n’est jamais sûr à 100 % et parfois, les distributeurs de logiciels malveillants réussissent à introduire leur applications dans Google Play.

Le problème est que même une entreprise de grande envergure comme Google ne peut pas vérifier minutieusement des millions d’applications. Rappelez-vous que la plupart des applications sont régulièrement mises à jour, ce qui fait qu’il y a toujours du travail pour les modérateurs Google Play. C’est pourquoi nous devons impérativement protéger notre smartphone à l’aide d’un bon antivirus.

Pendant un temps, CamScanner était en réalité une application légitime, sans aucune mauvaise intention. Elle utilisait des publicités pour la monétisation et permettait même de faire des achats dans l’application. Toutefois, à partir d’un moment donné, tout a changé. Les versions récentes comprenaient une bibliothèque publicitaire avec un module malveillant.

Les produits de sécurité en ligne Kaspersky détectent ce produit comme Trojan-Dropper.AndroidOS.Necro.n, module que nous avons trouvé dans certaines applications préinstallées sur des smartphones chinois. Comme son nom l’indique, il s’agit d’un Trojan-Dropper. Cela veut dire qu’il extrait et exécute un autre module malveillant à partir d’un fichier chiffré inclus dans les ressources de l’application. Ces logiciels malveillants « discrets », à leur tour, sont des Trojan-Downloader qui téléchargent plus de modules malveillants en fonction de ce que ses créateurs sont capables de faire sur le moment.

Par exemple, une application contenant ce code malveillant peut afficher des publicités intrusives et inscrire les utilisateurs à des abonnements payants.

Certains utilisateurs de l’application CamScanner ont déjà détecté des comportements suspects et ont laissé des commentaires sur la page Google Play de l’application pour éviter que d’autres utilisent l’application.

Les chercheurs de Kaspersky ont examiné une version récente de l’application et y ont identifié le module malveillant. Nous avons fait part de ce que nous avions découvert à Google et l’application a été rapidement retirée de Google Play.

Il semblerait que les développeurs de l’application se soient débarrassés du code malveillant dans la dernière mise à jour de CamScanner. Nous vous recommandons de mettre à jour les applications de votre smartphone pour que votre dispositif soit protégé. Cependant, souvenez-vous que les versions de l’application varient selon les appareils et que certains d’entre eux peuvent encore contenir le code.

Ce que nous pouvons retenir de cette histoire, c’est que n’importe quelle application, même celle d’un magasin officiel, même celle qui a une bonne réputation, et même celle qui compte des millions de critiques positives et une base d’utilisateurs fidèles, comme CamScanner, peut se transformer en logiciel malveillant en une nuit. Chaque application n’est qu’à une mise à jour d’un changement majeur. Pour vous assurer que vous ne vous retrouverez jamais dans une telle situation, utilisez un antivirus fiable pour Android et analysez votre smartphone de temps en temps. (La version payante de Kaspersky Internet Security pour Android effectue ce scan automatiquement.)