CamScanner è un malware: questo hanno titolato le agenzie di stampa specializzate in informazione tecnologica, citando i risultati di un esplosivo report da Kaspersky Lab, la suite di sviluppo e ricerca di sicurezza informatica. La notizia ha scatenato un piccolo terremoto: CamScanner, oltre ad essere un’app decana di Google Play – è presente sin dal 2010 nello store di Google, quando ancora si chiamava Android Market – è anche una delle migliori nel suo settore. Scoprire che Camscanner è un malware, e che per tale ragione è stata espulsa dal Play Store nel giro di breve, ha sorpreso molti commentatori, che giustamente si sono interrogati sulle ragioni di una scelta simile per un’applicazione connotata da una popolarità molto estesa (oltre 100 milioni di download per recensioni sempre tendenti alle cinque stelle piene).
Ma com’è successo, e perché CamScanner è un malware (che ora occorre disinstallare per evitare ulteriori pericoli alla sicurezza del proprio device), ve lo raccontiamo noi: siete pronti?
Che cos'è CamScanner
CamScanner è (era) un’applicazione per la scansione e archiviazione di documenti, dotata di tecnologia OCR per il riconoscimento dei testi. Presente su Google Play dal 2010, è di proprietà della compagnia cinese CC Intelligence Corporation, con sede a Shangai. Insieme a CamScanner, l’azienda è detentrice anche del marchio CamCard, applicazione specializzata nella scansione di biglietti da visita e decisamente meno popolare della prima (“solo” 100mila download su Google Play).
CamScanner ha guadagnato una userbase leale nel tempo per via dell’innegabile qualità della sua suite (che venne inserita anche in una nostra vecchia classifica), specialmente a confronto con una concorrenza al contrario poco attenta sia all’interfaccia grafica, nella maggior parte dei casi molto trascurata, sia all’accuratezza degli algoritmi di scansione. CamScanner, integrando un sistema di riconoscimento automatico dei bordi dei documenti, nonché un software OCR soddisfacente, ha scalato nel tempo le classifiche, resistendo all’entrata in scena di applicazioni potenzialmente concorrenti come Microsoft Lens, o le nuove funzioni di Google Drive.
La monetizzazione dell’app è stata applicata in due modi: acquistando una licenza Premium è possibile accedere a funzioni speciali ed eliminare le pubblicità, che invece sono presenti nel profilo gratuito. Tuttavia, sembra che gli sviluppatori abbiano deciso di utilizzare un terzo espediente: l’utilizzo di un trojan. Ma è veramente così?
Come CamScanner attacca gli smartphone degli utenti
La ragione per cui CamScanner è un malware secondo la maggior parte dei media è dato dalla rilevazione di un trojan all’interno di una delle più recenti versioni dell’applicazione, pubblicata sul Play Store. Identificato dalla società d’analisi russa Kaspersky Lab (che aveva iniziato le indagini dopo che l’app, solitamente con una media di recensioni tendente alle cinque stelle, aveva ricevuto un’ondata insolita di recensioni negative), la sua segnalazione a Google ha provocato la fuoriuscita forzata di CamScanner dal Play Store.
Il trojan, chiamato Trojan-Dropper.AndroidOS.necro.n, non è nuovo agli analisti di Kaspersky: venne trovato all’interno di applicazioni su smartphone destinati al mercato cinese, tutte preinstallate. Anche il comportamento è il medesimo: il malware mostra all’utente, ad ogni suo accesso, pubblicità intrusive e tramite falsi clic li iscrive a programmi a pagamento per i quali naturalmente non ha mai dato il consenso.
Il modulo a cui il trojan fa riferimento e per il quale ora CamScanner è un malware, è contenuto all’interno di un file crittografato denominato mutter.zip: grazie a questo modulo, il programmatore che ne detiene l’accesso può decidere di eseguire qualunque comando desideri. Il virus dunque non è parte integrante dell’applicazione, ma è stato aggiunto solo di recente: secondo gli sviluppatori di Kaspersky, proviene da una libreria pubblicitaria cinese che i programmatori di CamScanner hanno affiancato all’applicazione senza, probabilmente, essere a conoscenza della sua natura maligna. Non sarebbe la prima volta che una libreria di pubblicità per app diventa il veicolo per infezioni da malware: solo di recente, la libreria BeiTaPlugin ha infettato oltre 250 applicazioni su Google Play, poi espulse dallo store, in due round consecutivi – alcune con la complicità del loro sviluppatore.
Secondo però l’analista Igor Golovin, non sembrerebbe essere il caso di CamScanner la cui infezione sarebbe quindi il frutto di una leggerezza, costata poi cara all’applicazione ed alla sua fama, e non di un dichiarato intento di trasformare un’app da 100 milioni di installazioni in un formidabile tool di infezione di massa; a riprova di ciò, l’ultimo aggiornamento dell’app prima della sua espulsione aveva visto l’eliminazione del trojan.
Come difendersi
CamScanner è stato espulso dal Play Store; se tuttavia avete ancora installato l’app principale sul vostro dispositivo, vi suggeriamo di disinstallarla come misura precauzionale, dato che potreste non aver aggiornato l’app all’ultima versione, ossia quella dove il malware era stato eliminato.
In termini più generali, è impossibile riuscire a prevedere simili emergenze: Google Play Protect, la suite di sicurezza pensata da Google per la protezione degli utenti Android nei confronti delle possibili minacce provenienti dal Play Store, non è sufficientemente potente per scansionare ogni elemento di ogni app. La minaccia in questo caso proveniva da una libreria pubblicitaria: su Android è possibile utilizzare quella che lo sviluppatore preferisce maggiormente, a differenza di iOS dove ogni app può integrare solo un network pubblicitario – quello di Apple, per ragioni principalmente di sicurezza (e ciò spiega perché CamScanner per iOS continua ad essere disponibile sull’App Store).
La vera minaccia, in questo caso, è la libertà lasciata da Google ai network pubblicitari di eseguire azioni e script direttamente dai banner all’interno delle applicazioni – una libertà facilmente abusabile per scopi meno che nobili, come in questo caso. L’unico tipo di prevenzione, in questo caso, è l’informazione che siti web come il nostro forniscono ogni qualvolta minacce simili vengono scoperte e segnalate ai media.
Vorresti scrivere per AppElmo? Mettiti in gioco: stiamo cercando collaboratori! Scrivi a myjob@appelmo.com, e dai un’occhiata QUI per le modalità di contatto. Non essere timido!
Se non volete perdervi nè le prossime News nè gli altri articoli di AppElmo (e sappiamo che non volete), allora potete iscrivervi alla nostra newsletter inserendo il vostro indirizzo email nel form qui in basso (tranquilli, vi assicuriamo che non vi invieremo spazzatura o spam; in caso contrario, vi saremmo immensamente grati se ci segnalaste il problema).
Oppure potete seguirci sulla nostra pagina Facebook, sul nostro account Twitter e sul nostro canale Telegram! Grazie mille!