Não é segredo que a Google Play Store ainda está longe de ser um porto seguro. Vira e mexe surgem casos de aplicativos distribuídos pela loja que são poços de malwares, mas o que acontece quando um software legítimo “muda de lado” durante seu ciclo de vida?

Pois foi o que aconteceu com o CamScanner: o app de digitalização de documentos, que contava com mais de 100 milhões de downloads se tornou malicioso após uma atualização, trazendo um backdoor embutido que permitia a entrada de malwares e outras pragas.

Segundo pesquisadores do Kaspersky Lab, o CamScanner foi publicado normalmente na Google Play Store e conta também com uma versão para iPhone. Ele é originalmente gratuito, mas oferece compras para entre outras coisas, converter documento para arquivos de texto via OCR e remover anúncios.

No entanto, em um determinado momento o app passou a trazer em seu código um malware chamado “trojan dropper”, capaz de baixar códigos maliciosos de fontes externas, para diversos fins.

O elemento batizado como “Trojan-Dropper.AndroidOS.Necro.n” se conectava a um servidor, baixava scripts e os executava no celular Android, com comandos que variavam desde baixar apps sem permissão do usuário a exibir anúncios intrusivos, incluir keyloggers e roubar dados sensíveis, assinar aplicativos à revelia e drenar dinheiro da carteira do Google ou do cartão de crédito associado à conta, etc.

De acordo com a desenvolvedora do CamScanner, o módulo foi introduzido no app para Android após a integração de uma rede de anúncios chamada AdHub, dando a entender que o ataque foi externo e não que a atualização que alterou o propósito do software foi deliberada. Em nota, a empresa afirma que “após rodadas de verificação, não foram encontradas evidências de que o módulo pode causar vazamento de dados”.

O Google, como sempre foi reativo: após a Kaspersky publicar o informe sobre o CamScanner, o app foi removido da Play Store; os desenvolvedores afirmam que uma próxima atualização, sem o módulo e mais segura será lançada no futuro, mas é fato que a confiança no software foi comprometida.

Se você usa o CamScanner no Android, desinstale-o agora; até o momento não há informações de que a versão para iPhone possa ter sido igualmente comprometida (a Apple é muito mais minuciosa no que tange à segurança), no entanto, fique atento a comportamentos estranhos de seu celular. Na dúvida, remova-o também de seu iGadget. Caso você precise de um aplicativo para digitalizar documentos no lugar do CamScanner, há opções como Evernote, Dropbox e Adobe Scan.