CamScanner, en populär app som används för att läsa pdf-dokument, har visat sig innehålla skadlig programkod.
Appen har funnits sedan 2010 och den har hämtats fler än 100 miljoner gånger.
Det var det ryska antivirusföretaget Kaspersky som upptäckte att appen började sprida sabotageprogram på Android-enheter.
Google har sedan dess plockat bort CamScanner från Google Play Store.
App gav tillgång till mobilen
Säkerhetshålet resulterade i "påträngande annonser" och registrerade automatiskt användare för att få betalda prenumerationer.
Felet gjorde det också möjligt att skapa en anslutning till användarens server och hämta ytterligare information.
Teknikpublikationen ZDNet skriver att CamScanner har 1,8 miljoner (mestadels positiva) omdömen på Google Play, och Kaspersky började granska appen efter att det plötsligt kom en mängd negativa omdömen.
Malware kanske bara en uppdatering bort
Kaspersky påpekar att "CamScanner var faktiskt en legitim app utan några ondsinta intentioner som använder annonser för att generera intäkter och tillåter även köp i appen. Vid någon tidpunkt ändrade sig detta, och en version levererades med ett reklambibliotek som innehåller en skadlig modul.”
Händelsen fungerar som en påminnelse om att även populära och väl ansedda appar inte går säkra för malwareattacker.
Enligt Kaspersky verkar de senaste uppdateringarna av CamScanner ha plockat bort felen, men det är väldigt viktigt att användare av appen så snart som möjligt uppdaterar till den senaste versionen.
Om du har appen installerad gör du bäst i att (för tillfället) radera den och överväga att byta till någon av de appar som kan göra samma sak, exempelvis Microsoft OneNote, Google Drive eller Apple Notes.