Når du laster ned apper til Android, er det sunt fornuftig å bare bruke Google Play-appen. Tross alt, hvem vet hva slags malware er samlet i apper lastet ned fra tilfeldige nettsteder? Som sådan har Google Play gått på plass for sikre og pålitelige appnedlastinger. Dessverre, mens det er det beste stedet å få apps, er det absolutt ikke idiotsikkert!

Nylig ble det oppdaget at en streng av Android malware, kalt FalseGuide, klarte å infisere opptil 2 millioner Android-telefoner. Hvordan har det gjort dette, og hva betyr det for apps som helhet?

Metoden

Navnet "FalseGuide" gir bort hvordan appen ble distribuert. De har kapitalisert seg på spillveiledningsapper, et populært delsett av apper på Android-butikken. Spillere leter alltid etter guider for spill de spiller, enten fordi det er vanskelig eller har skjult mekanikk. Mens du ser opp guider på nettet, er det ingen ny innovasjon, apps har brakt dem inn i et nytt interaktivt format. Dette betyr at spillere over hele verden besøker Google Play for apper for å hjelpe dem med å slå spillene de spiller.

Malware-utviklere smuglet i FalseGuide ved å maskerere det som en spillguide. Disse skadelige guider ble skrevet for populære oppføringer, for eksempel Terraria og World of Tanks, for å sikre maksimal distribusjon. Når de først ble lastet opp, måtte de bare vente på at folk skulle laste ned guider av tusenvis. De første tegnene på at noe var galt i spillguidenes verden, ble oppdaget 24. april 2017, men den eldste appen som ble funnet med installert skadelig programvare, ble lastet opp til Google Play 14. februar 2017. Dette betyr at malware hadde et par måneders ledig tid å sirkulere mellom enheter.

Når det gjelder å distribuere malware, gjorde det enkelt å komme inn på Google Play for malware-distributørene. Ved å smugle malware i guider for populære spill, antok folk at fordi det var på Google Play, var det 100% sikkert å laste ned. Under den falske antagelsen om at Play-butikken var ufeilbarlig, lastet folk ned appene uten en annen tanke og infiserte sine egne enheter med FalseGuide. Gjennom dette klarte FalseGuide å lande på 2 millioner enheter i løpet av 2 måneder.

Den fullstendige listen over oppdagede apper med skadelig programvare finnes nær bunnen av den offisielle Check Point-artikkelen.

Hva gjør FalseGuide?

Ethvert stykke skadelig programvare har en hensikt. Fra å stjele informasjon for å bare skade, har hvert ondsinnet angrep et motiv bak det. Hva er FalseGuides mål nå når det har 2 millioner enheter i sitt grep?

Målene med FalseGuide er som følger:

  1. Brukeren finner og initierer nedlasting av en infisert spillguide på deres telefon. Appen ber om installasjonsrettigheter for "device admin", slik at den kan utføre sine oppgaver. Brukeren aksepterer dette og installerer appen.
  2. FalseGuide, nå med enhetsadministrasjonsrettigheter, setter seg opp, slik at den ikke kan slettes av brukeren.
  3. FalseGuide tegner seg selv opp til en tjeneste som heter "Firebase Cloud Messaging" uten brukerens kunnskap. Dette er en tjeneste som lar apputviklere sende meldinger og varsler til sine apper og ble utviklet med uskyldig hensikt. FalseGuide lokaliserer og abonnerer på et emne som deler samme navn som appen den ble levert inn, og venter deretter på ytterligere instruksjoner.
  4. Gjennom Firebase-emnet kan FalseGuide motta meldinger fra malware-utviklerne for å installere og kjøre ondsinnede kommandoer.

Resultatet er en feilaktig malware som lytter til og utfører kommandoer gitt av den av distributøren. Disse kommandoene kan variere fra å installere adware på telefoner for å starte DDoS-angrep på offertjenere. Kort sagt, FalseGuide gir malware distributøren fri tøyler å gjøre som det gleder seg med en brukers enhet.

Hvordan ble det akseptert?

Problemet med apper som FalseGuide er at de er forkledd som uskyldige apps, som da blir skadelige etter at de er installert. Dette gjøres ved å sikre at base-appen inneholder null skadelig kode. Det betyr at "carrier app" vil passere Google Play-screening uten at det oppdages skadelig programvare.

Først etter at den er installert på en enhet i lang tid, vil den motta instruksjoner gjennom Firebase. Disse instruksjonene gir deretter appen den skadelige koden malware krever for å kunne fungere. Dette gjør det mulig for botnetter som FalseGuide å etablere seg på Google Play mens de skyver under streng anti-malware-deteksjon.

Går videre

I etterkant av et botnet som er satt opp under Googles nese, hva kan vi, som brukerne, gjøre for å unngå disse angrepene?

Først, hvis du mistenker at telefonen ble slått med FalseGuide, må du sørge for å laste ned og kjøre en pålitelig antivirusløsning for Android. Hvis du er usikker på hva som er trygt og hva som ikke er, kjørte vi en liste over anbefalte antivirusprogrammer for å prøve.

Uansett om du var infisert, er denne historien en påminnelse om å være forsiktig med Android-enheten din. Mens Google Play er det sikreste stedet å laste ned apper fra, er det definitivt ikke perfekt! Les alltid "Device Permissions" popup og forsikre deg om at appen ikke ber om å gå steder der den ikke skal. Hvis en enkel app begynner å be om tillatelser til viktige områder av telefonen, må du ikke installere den.

Misguided Users

Med over 2 millioner enheter infisert, er FalseGuide en advarsel om hvordan man ikke antar at apps er 100% trygge rent fordi de er på en offisiell appbutikk. Nå vet du hvordan FalseGuide fungerer, hvordan det klarte å spre seg, og hvordan man kan unngå et lignende angrep i fremtiden.

Har du noen gang blitt smittet av en app fra en offisiell appbutikk? Fortell oss dine historier i kommentarene!