Hvordan FalseGuide inficerede 2 millioner Android-enheder
Når du henter apps til Android, er det fornuftigt kun at bruge Google Play-appen. Når alt kommer til alt, hvem ved, hvilken form for malware er bundtet inden for apps hentet fra tilfældige websites? Som sådan har Google Play været stedet for sikker og pålidelig app-downloads. Desværre er det det bedste sted at få apps, det er bestemt ikke tåbeligt!
For nylig blev det opdaget, at en streng af Android malware, kaldet FalseGuide, formåede at inficere op til 2 millioner Android-telefoner. Hvordan har det gjort det, og hvad betyder det for apps som helhed?
Metoden
Navnet "FalseGuide" giver væk hvordan appen blev distribueret. De kapitaliserede på spilguide apps, en populær delmængde af apps på Android Butik. Spillere søger altid vejledninger til spil, de spiller, enten fordi det er svært eller har skjulte mekanik. Mens du kigger på guider online, er der ingen ny innovation, apps har ført dem til et nyt interaktivt format. Det betyder, at spillere rundt om i verden besøger Google Play for apps for at hjælpe dem med at slå de spil, de spiller.
Malware-udviklere smuglet i FalseGuide ved at maskerere det som en spilguide. Disse ondsindede guider blev skrevet til populære poster, som f.eks. Terraria og World of Tanks, for at sikre maksimal distribution. Når de først blev uploadet, måtte de bare vente på, at folk downloadede guiderne af tusindvis. De første tegn på, at der var noget i guildguidenes verden, optrådte den 24. april 2017, men den ældste app, der blev fundet med den installerede malware, blev uploadet til Google Play den 14. februar 2017. Det betyder, at malware havde et par måneders fritid at cirkulere blandt enheder.
Hvad angår faktisk distribution af malware, gjorde det nemt at komme på Google Play for malware-distributørerne. Ved at smugle malware i guider til populære spil antog folk, at fordi det var på Google Play, var det 100% sikkert at downloade. Under den falske antagelse om, at Play-butikken var ufejlbarlig, downloadede folk appsne uden en anden tanke og inficerede deres egne enheder med FalseGuide. Gennem dette lykkedes det FalseGuide at lande på 2 millioner enheder i løbet af 2 måneder.
Den fulde liste over opdagede apps med malware findes i bunden af den officielle Check Point-artikel.
Hvad virker FalseGuide?
Ethvert stykke malware har et formål. Fra at stjæle oplysninger for simpelthen at skade, har hvert ondsindet angreb et motiv bag det. Hvad er FalseGuides mål nu, at det har 2 millioner enheder i sit greb?
Målene med FalseGuide er som følger:
- Brugeren finder og initierer download af en inficeret spilguide på deres telefon. App'en beder om "enhedsadministrator" installationsrettigheder, så det kan udføre sine opgaver. Brugeren accepterer dette og installerer appen.
- FalseGuide, nu med enhedsadministrator tilladelser, sætter sig op, så det ikke kan slettes af brugeren.
- FalseGuide tegner sig selv til en tjeneste kaldet "Firebase Cloud Messaging" uden brugerens viden. Dette er en tjeneste, der giver app-udviklere mulighed for at sende beskeder og meddelelser til deres apps og blev udviklet med uskyldig hensigt. FalseGuide lokaliserer og abonnerer på et emne, der deler samme navn som den app, den blev leveret i, og venter derefter på yderligere instruktioner.
- Gennem Firebase-emnet kan FalseGuide modtage meddelelser fra malware-udviklerne for at installere og køre ondsindede kommandoer.
Resultatet er et uudsletteligt stykke malware, der lytter til og udfører kommandoer, som den har fået af sin distributør. Disse kommandoer kan variere fra at installere adware på telefoner for at påbegynde DDoS-angreb på offerets servere. Kort sagt, FalseGuide giver malware-distributøren fri tøj til at gøre, som det lykkes med en brugers enhed.
Hvordan blev det accepteret?
Problemet med apps som FalseGuide er, at de er forklædt som uskyldige apps, som derefter bliver ondsindede, efter at de er blevet installeret. Dette gøres ved at sikre, at base app indeholder null skadelig kode. Det betyder, at "carrier app" vil passere Google Play screening uden malware opdaget.
Først efter at den er installeret på en enhed i lang tid, vil den modtage instruktioner gennem Firebase. Disse instruktioner giver derefter appen den ondsindede kode, malware kræver for at kunne fungere. Dette gør det muligt for botnets som FalseGuide at etablere sig på Google Play, mens de glider under den strenge anti-malware-detektion.
Bevæger sig fremad
Hvad kan vi som brugere gøre for at undgå disse angreb i kølvandet på, at et botnet er oprettet under Googles næse?
For det første, hvis du har mistanke om, at din telefon blev ramt med FalseGuide, skal du sørge for at downloade og køre en betroet antivirus-løsning til Android. Hvis du ikke er sikker på, hvad der er sikkert, og hvad der ikke er, løb vi en liste over anbefalede antivirusprogrammer, som du kan prøve.
Uanset om du er inficeret eller ej, er denne historie en påmindelse om at være forsigtig med din Android-enhed. Mens Google Play er det sikreste sted at downloade apps fra, er det absolut ikke perfekt! Læs altid "Device Permissions" popup og sørg for at appen ikke beder om at gå steder, hvor det ikke skal. Hvis en simpel app begynder at bede om tilladelser til vigtige områder af din telefon, må du ikke installere det.
Misforstået brugere
Med over 2 millioner enheder inficeret, er FalseGuide en advarsel om, hvordan man ikke kan antage, at apps er 100% sikre udelukkende fordi de er på en officiel appbutik. Nu ved du, hvordan FalseGuide fungerer, hvordan det lykkedes at sprede sig, og hvordan man undgår et lignende angreb i fremtiden.
Har du nogensinde været inficeret af en app fra en officiel appbutik? Fortæl os dine historier i kommentarerne!