При загрузке приложений для Android разумно использовать только приложение Google Play. В конце концов, кто знает, какое вредоносное ПО содержится в приложениях, загруженных со случайных веб-сайтов? Таким образом, Google Play стал популярным местом для безопасной и надежной загрузки приложений. К сожалению, хотя это и лучшее место для скачивания приложений, оно определенно не является надежным!
Недавно было обнаружено, что версия вредоносного ПО для Android под названием FalseGuide сумела заразить до 2 миллионов телефонов Android . Как это удалось сделать и что это значит для приложений в целом?
Метод
Название FalseGuide указывает на то, как распространялось приложение. Они извлекли выгоду из приложений-руководств по играм — популярного подмножества приложений в магазине Android. Геймеры всегда ищут руководства по играм, в которые они играют, либо потому, что они сложны, либо имеют скрытую механику. Хотя поиск путе
Contents
Метод
тернете не является чем-то новым, приложения придали им новый интерактивный формат. Это означает, что геймеры со всего мира посещают Google Play в поисках приложений, которые помогут им победить в играх, в которые они играют.Разработчики вредоносного ПО тайно пронесли FalseGuide, замаскировав его под руководство по игре. Эти вредоносные руководства были написаны для популярных игр, таких как Terraria и World of Tanks, чтобы обеспечить максимальное распространение. После загрузки им просто приходилось ждать, пока люди загрузят руководства тысячами. Первые признаки того, что в мире игровых руководств что-то неладно, появились 24 апреля 2017 года, но самое старое найденное приложение с установленной вредоносной программой было загружено в Google Play 14 февраля 2017 года. Это означает, что у вредоносной программы была пара месяцев свободного времени. для распространения между устройствами.
Что касается фактического распространения вредоносного ПО, то попадание в Google Play невероятно облегчило распространение вредоносного ПО. Переправляя вредоносное ПО в руководства к популярным играм, люди предполагали, что, поскольку оно находится в Google Play, его загрузка на 100% безопасна. Под ложным предположением, что магазин Play Store безупречен, люди загружали приложения, не задумываясь, заражая свои устройства FalseGuide. Благодаря этому FalseGuide удалось охватить 2 миллиона устройств за 2 месяца.
Полный список обнаруженных приложений с вредоносным ПО можно найти в нижней части официальная статья Check Point .
Что делает FalseGuide?
У каждого вредоносного ПО есть своя цель. От кражи информации до простого нанесения ущерба — у каждой злонамеренной атаки есть мотив. Какова цель FalseGuide теперь, когда в ее распоряжении 2 миллиона устройств?
Целями FalseGuide являются:
- Пользователь находит и инициирует загрузку зараженного руководства по игре на свой телефон. Приложение запрашивает разрешения на установку «администратора устройства», чтобы оно могло выполнять свои обязанности. Пользователь принимает это и устанавливает приложение.
- FalseGuide, теперь обладающий правами администратора устройства, настраивает себя так, чтобы пользователь не мог его удалить.
- Затем FalseGuide без ведома пользователя регистрируется в сервисе Firebase Cloud Messaging. Это сервис, который позволяет разработчикам приложений отправлять сообщения и уведомления в свои приложения. Он был разработан с невинными намерениями. FalseGuide находит тему с тем же названием, что и приложение, в котором она была добавлена, и подписывается на нее, а затем ждет дальнейших инструкций.
- Посредством темы Firebase FalseGuide может затем получать сообщения от разработчиков вредоносного ПО для установки и запуска вредоносных команд.
Результатом является неудаляемая вредоносная программа, которая слушает и выполняет команды, данные ей распространителем. Эти команды могут варьироваться от установки рекламного ПО на телефоны до инициирования DDoS-атак на серверы жертв. Короче говоря, FalseGuide дает распространителю вредоносного ПО полную свободу действий с устройством пользователя.
Как это было принято?
Проблема таких приложений, как FalseGuide, заключается в том, что они маскируются под невинные приложения, которые после установки становятся вредоносными. Это достигается за счет того, что базово
Что делает FalseGuide?
осного кода. Это означает, что «мобильное приложение» пройдет проверку Google Play и не обнаружит вредоносного ПО.Только после длительной установки на устройстве оно получит инструкции через Firebase. Эти инструкции затем предоставляют приложению вредоносный код, необходимый вредоносному ПО для работы. Это позволяет ботнетам, таким как FalseGuide, закрепляться в Google Play, находясь под строгим контролем защиты от вредоносных программ.
Движение вперед
Поскольку под носом у Google был создан ботнет, что мы, пользователи, можем сделать, чтобы избежать этих атак?
Во-первых, если вы подозреваете, что ваш телефон заражен FalseGuide, обязательно скачайте и запустите надежное антивирусное решение для Android. Если вы не уверены, что безопасно, а что нет, мы запустили список рекомендуемых антивирусных приложений , чтобы вы могли попробовать.
Независимо от того, были ли вы заражены или нет, эта история является напоминанием о необходимости соблюдать осторожность при обращении с вашим устройством Android. Хотя Google Play — самое безопасное место для загрузки приложений, он определенно не идеален! Всегда читайте всплывающее окно «Разрешения устройства» и убедитесь, что приложение не запрашивает доступ в места, куда оно не должно. Если простое приложение начинает запрашивать разрешения для важных областей вашего телефона, не устанавливайте его.
Заблудшие пользователи
Поскольку FalseGuide заражено более чем 2 миллионами устройств, это поучительная история о том, как не предполагать, что приложения на 100 % безопасны только потому, что они находятся в официальном магазине приложений. Теперь вы знаете, как работает FalseGuide, как ему удалось распространиться и как избежать подобной атаки в будущем.
Вы когда-нибудь были заражены приложением из официального магазина приложений? Расскажите нам свои истории в комментариях!
