国产亿次下载 CamScanner 被揭内藏恶意程式遭Google Play 下架

大部分 Android 用户都会透过 Google Play 来下载手机应用程序(中国内地手机没有 Play Store 除外),因为普遍认为利用 Google Play 会远比在网上下载 apk 档案安全得多。不过最近有网络安全专家发现一款下载量超过 1 亿次的软件,竟然内嵌有恶意程式?事件不单引起关注,更有评论认为 Google 应该检讨目前应用上架的机制,以减低不良应用流传的机会。

下载量超过 1 亿的 CamScanner ,被发现内嵌有恶意程式。

防毒软件卡巴斯基的研究报告发现, Google Play Store 内的文件扫描软件 CamScanner(CamScanner – Phone PDF Creator 及 CamScanner – Scanner to scan PDFs)发现内含恶意程式,这个下载量超过 1 亿的 CamScanner 是依靠广告和 in-app 购买来作为收入,过去一直没有发现有问题。但在最近释出的版本中,被发现内嵌恶意程式模块 Trojan-Dropper.AndroidOS.Necro.n。

卡巴斯基指类似的恶意程式模块,普遍在中国制造 Android 手机的预载软件中出现,模块会定期从开发者指定的服务器下载经过加密的代码,然后在手机上执行,中招的手机可能会被出现侵入式广告、甚至会偷取用户的资料甚至金钱。有用户发现问题后已经向 Google Play 反映,而 Google 在收到卡巴斯基的通报后,亦已经将 CamScanner – Phone PDF Creator 下架。

今日 CamScanner 于官方网站及 Facebook 专页发布最新版本供用户下载。

不过过去都有声音指 Google Play Store 应用程序的上架机制过分宽松,一般情况下,Google 不会主动针对应用作严格的审查,开发者可以轻易将应用上架,除非有关应用被发现问题才会将之下架。所以过去,经常有发现有鱼目混珠的假游戏;亦有一些没有实际功能的钓鱼广告假应用程序;亦有更多程式被指过度取用使用者的手机权限,甚至内含恶意程式的情况时有发生。所以不少评论都认为 Google 应该检讨目前应用上架的机制,以减低不良应用流传的机会。

手机打开