1 亿人中招 Play Store 下载文件扫描软件内装恶意程式

除了中国内地，大部分 Android 用户都会透过 Google Play 来下载手机应用，一直以来绝大部分用户都会认为利用 Google Play 会远比在网上下载 apk 档案安全得多。不过最近有网络安全专家发现一款下载量超过 1 亿的软件，竟然内嵌有恶意程式？事件不单引起关注，更有评论认为 Google 应该检讨目前应用上架的机制，以减低不良应用流传的机会。

下载量超过 1 亿的 CamScanner ，被发现内嵌有恶意程式

防毒软件卡巴斯基的研究报告发现， Google Play Store 内的文件扫描软件 CamScanner（CamScanner - Phone PDF Creator 及 CamScanner - Scanner to scan PDFs）发现内含恶意程式，这个下载量超过 1 亿的 CamScanner 是依靠广告和 in-app 购买来作为收入，过去一直没有发现有问题。但在最近释出的版本中，被发现内嵌恶意程式模块 Trojan-Dropper.AndroidOS.Necro.n。

卡巴斯基指类似的恶意程式模块，普遍在中国制造 Android 手机的预载软件中出现，模块会定期从开发者指定的服务器下载经过加密的代码，然后在手机上执行，中招的手机可能会被出现侵入式广告、甚至会偷取用户的资料甚至金钱。有用户发现问题后已经向 Google Play 反映，而 Google 在收到卡巴斯基的通报后，亦已经将 CamScanner - Phone PDF Creator 下架。

一直以来，Google Play Store 的应用上架机制都被认过分宽松，一般情况下，Google 不会主动针对应用作严格的审查，开发者可以轻易将应用上架，除非有关应用被发现问题才会将之下架。所以过去，经常有发现有鱼目混珠的假游戏；亦有一些没有实际功能的钓鱼广告假应用；亦有更多应用被指过度取用使用者的手机权限，甚至内含恶意程式的情况时有发生。所以不少评论都认为 Google 应该检讨目前应用上架的机制，以减低不良应用流传的机会。