Когато изтегляте приложения за Android, е нормално да използвате само приложението Google Play. В края на краищата, кой знае какъв вид злонамерен софтуер е пакетиран в приложения, изтеглени от случайни уебсайтове? По този начин Google Play е мястото за излизане на безопасно и надеждно изтегляне на приложения. За съжаление, докато това е най-доброто място за получаване на приложения, определено не е абсолютно неудобно!

Наскоро беше открито, че направление от злонамерен софтуер за Android, наречено FalseGuide, успя да зарази до 2 милиона телефона с Android. Как е направил това и какво означава това за приложенията като цяло?

Методът

Името "FalseGuide" разкрива как е разпространено приложението. Те се превърнаха в популярни приложения за игри, популярна подмножество от приложения в магазина за Android. Геймърите винаги търсят ръководства за игри, които играят, било защото е трудно или има скрита механика. Докато търсенето на онлайн ръководства не е нова иновация, приложенията ги въвеждат в нов интерактивен формат. Това означава, че геймърите по целия свят посещават Google Play за приложения, за да им помогнат да победят игрите, които играят.

Разработчиците на злонамерен софтуер са били контрабандирани в FalseGuide, като го манипулират като ръководство за игра. Тези злонамерени ръководства са написани за популярни записи, като Terraria и World of Tanks, за да се гарантира максимално разпространение. Веднъж качени, те просто трябваше да чакат хората да изтеглят ръководствата по хилядите. Първите признаци, че има нещо нередно в света на ръководствата за игра, се появяват на 24 април 2017 г., но най-старото приложение, намерено с инсталирания злонамерен софтуер, е качено в Google Play на 14 февруари 2017 г. Това означава, че злонамереният софтуер е имал няколко месеца свободно време да циркулира между устройствата.

Що се отнася до действителното разпространение на злонамерения софтуер, навлизането в Google Play го направи изключително лесно за разпространителите на злонамерен софтуер. Чрез контрабандата на злонамерения софтуер в ръководствата за популярни игри хората предположиха, че защото е в Google Play, то е 100% безопасно за изтегляне. Под фалшивото допускане, че магазинът за игри е непогрешим, хората са изтеглили приложенията без втора мисъл, като са заразили собствените си устройства с FalseGuide. По този начин FalseGuide успя да кацне на 2 милиона устройства в рамките на 2 месеца.

Пълният списък на откритите приложения със злонамерен софтуер може да се намери в долната част на официалната статия на Check Point.

Какво прави FalseGuide?

Всяко зловреден софтуер има някаква цел. От кражбата на информация до простото извършване на щети, всяка злонамерена атака има мотив зад нея. Какво е целта на FalseGuide сега, че има 2 милиона устройства в ръката си?

Целите на FalseGuide са следните:

  1. Потребителят намира и инициира изтеглянето на заразен наръчник за игри в телефона си. Приложението поиска разрешения за инсталиране на "администратор на устройства", за да може да изпълнява задълженията си. Потребителят приема това и инсталира приложението.
  2. FalseGuide, сега с разрешенията за администриране на устройствата, се задава, за да не може да бъде изтрит от потребителя.
  3. След това FalseGuide се регистрира в услуга, наречена "Firebase Cloud Messaging", без знанието на потребителя. Това е услуга, която позволява на разработчиците на приложения да изпращат съобщения и известия до приложенията си и е разработена с невинно намерение. FalseGuide открива и се абонира за тема, споделяща същото име като приложението, в което е доставено, след което изчаква допълнителни инструкции.
  4. Чрез темата Firebase FalseGuide може да получава съобщения от разработчиците на злонамерен софтуер, за да инсталира и изпълнява злонамерени команди.

Резултатът е неустойчива част от зловреден софтуер, който слуша и изпълнява команди, дадени от неговия дистрибутор. Тези команди могат да варират от инсталиране на рекламен софтуер на телефони до иницииране на DDoS атаки на сървъри на жертвите. Накратко, FalseGuide дава на дистрибутора на злонамерен софтуер безплатна поддръжка, за да може да го направи по ваше желание с устройството на потребителя.

Как е прието?

Проблемът с приложенията като FalseGuide е, че те са прикрити като невинни приложения, които след това стават злонамерени след инсталирането им. Това се прави, като се гарантира, че базовото приложение съдържа нулев злонамерен код. Това означава, че "приложението за мобилен оператор" ще премине скрининга в Google Play, без да бъде открит злонамерен софтуер.

Само след като бъде инсталиран на устройството за дълго време, той ще получи инструкции чрез Firebase. След това тези указания дават на приложението зловреден код, който зловреден код изисква, за да може да работи. Това позволява на ботнетите като FalseGuide да се установят в Google Play, докато се плъзгат под стриктното откриване на анти-злонамерен софтуер.

Движа се напред

След като ботът е създаден под носа на Google, какво можем да направим като потребители, за да избегнем тези атаки?

Първо, ако подозирате, че телефонът ви е бил ударен с FalseGuide, не забравяйте да изтеглите и стартирате надеждно антивирусно решение за Android. Ако не сте сигурни за това, което е безопасно и какво не, ние направихме списък с препоръчваните антивирусни приложения, които да опитате.

Независимо дали сте били заразени или не, тази история е напомняне да бъдете предпазливи с устройството си с Android. Докато Google Play е най-сигурното място за изтегляне на приложения, това определено не е перфектно! Винаги прочетете изскачащия прозорец "Разрешения за устройства" и се уверете, че приложението не иска да отиде там, където не трябва. Ако просто приложение започне да иска разрешения за жизненоважни области на вашия телефон, не го инсталирайте.

Неправилни потребители

С над 2 милиона заразени устройства, FalseGuide е предупредителен разказ за това как да не се предположи, че приложенията са 100% безопасни само защото са на официално магазин за приложения. Сега знаете как FalseGuide работи, как успя да се разпространи и как да избегнете подобна атака в бъдеще.

Били ли сте някога сте били заразени с приложение от официален магазин за приложения? Кажете ни вашите истории в коментарите!