Hur FalseGuide Infected 2 Million Android Devices
När du laddar ner appar till Android är det sunt att bara använda Google Play-appen. Vem vet ju vilken typ av skadlig kod som ingår i appar som laddas ner från slumpmässiga webbplatser? Som sådan har Google Play gått till plats för säkra och pålitliga appnedladningar. Tyvärr, medan det är det bästa stället att få appar, är det definitivt inte idiotiskt!
Nyligen upptäcktes att en sträng Android malware, kallad FalseGuide, lyckades infektera upp till 2 miljoner Android-telefoner. Hur gjorde det här, och vad betyder det för appar som helhet?
Metoden
Namnet "FalseGuide" ger bort hur appen distribuerades. De aktiverade på spelguide-appar, en populär delmängd av appar på Android-butiken. Spelare letar alltid efter guider för spel de spelar, antingen för att det är svårt eller har gömt mekanik. Medan du tittar upp guider på nätet är ingen ny innovation har apps tagit dem till ett nytt interaktivt format. Det betyder att spelare runt om i världen besöker Google Play för appar för att hjälpa dem att slå de spel de spelar.
Malware-utvecklare smugglade i FalseGuide genom att masquerade det som en spelguide. Dessa skadliga guider skrevs för populära inlägg, som Terraria och World of Tanks, för att säkerställa maximal distribution. När de blivit uppladdade, behövde de helt enkelt vänta på att folk hämtade guiderna av tusentals. De första tecknen på att någonting var otroligt i spelguiderna verkade den 24 april 2017, men den äldsta appen med den installerade skadliga programvaran laddades upp till Google Play den 14 februari 2017. Det innebär att skadlig programvara hade ett par månaders ledig tid att cirkulera bland enheter.
När det gäller att distribuera skadlig programvara, gjorde det enkelt att komma till Google Play för malware-distributörerna. Genom att smuggla malware i guider för populära spel antog folk att eftersom det var på Google Play var det 100% säkert att ladda ner. Under det falska antagandet att Play-butiken var ofelbar, hämtade personerna apps utan en andra tanke, smittade egna enheter med FalseGuide. Genom detta lyckades FalseGuide landa på 2 miljoner enheter inom 2 månader.
Den fullständiga listan över upptäckta appar med skadlig programvara finns nära botten av den officiella Check Point-artikeln.
Vad gör FalseGuide?
Varje del av skadlig kod har en avsikt. Från att stjäla information för att helt enkelt skada, har varje skadlig attack ett motiv bakom det. Vad är FalseGuides mål nu när det har 2 miljoner enheter i sitt grepp?
Målen med FalseGuide är följande:
- Användaren hittar och initierar nedladdning av en infekterad spelguide på sin telefon. Appen frågar om installationsbehörigheter för "device admin" så att den kan utföra sina uppgifter. Användaren accepterar detta och installerar appen.
- FalseGuide, nu med enhetsadministratörsbehörigheter, sätter upp sig så det kan inte raderas av användaren.
- FalseGuide tecknar sig själv upp till en tjänst som heter "Firebase Cloud Messaging" utan användarens kunskaper. Det här är en tjänst som gör det möjligt för apputvecklare att skicka meddelanden och meddelanden till sina appar och utvecklades med oskyldig avsikt. FalseGuide lokaliserar och prenumererar på ett ämne som delar samma namn som appen levererades och väntar sedan på ytterligare instruktioner.
- Genom Firebase-ämnet kan FalseGuide sedan få meddelanden från malwareutvecklarna att installera och köra skadliga kommandon.
Resultatet är en oskadlig del av skadlig kod som lyssnar på och utför kommandon som den tilldelas av distributören. Dessa kommandon kan variera från att installera adware på telefoner för att initiera DDoS-attacker mot offerservrar. Kort sagt, FalseGuide ger malwaredistributören fri att göra som det behagar med en användares enhet.
Hur blev det accepterat?
Problemet med appar som FalseGuide är att de är förklädda som oskyldiga appar, som sedan blir skadliga efter att de har installerats. Detta görs genom att basprogrammet innehåller noll skadlig kod. Det betyder att "carrier app" kommer att passera Google Play-screening utan att upptäcka skadlig kod.
Först efter att det har installerats på en enhet under lång tid kommer det att få instruktioner genom Firebase. Dessa instruktioner ger sedan appen den skadliga kod som skadlig programvara kräver för att kunna fungera. Detta gör det möjligt för botnät som FalseGuide att etablera sig på Google Play medan de glider under den strikta anti-malware-upptäckten.
Går vidare
Vad kan vi som användare göra för att undvika dessa attacker i kölvattnet på att en botnät upprättas under Googles näsa?
Först, om du misstänker att telefonen träffades med FalseGuide, se till att ladda ner och kör en pålitlig antiviruslösning för Android. Om du är osäker på vad som är säkert och vad som inte är det, sprang vi en lista med rekommenderade antivirusprogram för att du ska försöka.
Oavsett om du är smittad eller inte, är den här historien en påminnelse om att vara försiktig med din Android-enhet. Medan Google Play är den säkraste platsen att ladda ner appar från, är det definitivt inte perfekt! Läs alltid popupen "Enhetsbehörigheter" och se till att appen inte ber om att gå till platser där den inte ska. Om en enkel app börjar begära behörigheter till viktiga områden i telefonen, installerar du inte den.
Misguided Users
Med över 2 miljoner enheter infekterade, är FalseGuide en försiktighetshistoria om hur man inte antar att appar är 100% säkra rent för att de är på en officiell appbutik. Nu vet du hur FalseGuide fungerar, hur det lyckades spridas, och hur man undviker en liknande attack i framtiden.
Har du någonsin smittats av en app från en officiell appbutik? Berätta för dina historier i kommentarerna!