Akár kétmillió androidos felhasználó is fertőződhetett egy igen ravasz malware-rel, amely hónapokig bujkált észrevétlenül a Google Playben. A malware népszerű mobiljátékokhoz készült útmutatókba férkőztek be – állapították meg a CheckPoint biztonsági kutatói.

A szakemberek által FalseGiuide-nak nevezett kártevő a felhasználók tudta nélkül néma botneteket hoz létre a fertőzött eszközökből, hogy azután adware-ek terjesztéséhez jutassa bevételhez fejlesztőjét. Kezdetben azt hitték, hogy a FalseGuide legrégebbi példánya februárban került be a Google Playbe, és nagyjából 600 ezer felhasználót fertőzött meg, azonban a mélyrehatóbb vizsgálat kiderítette, hogy már 2016 novemberétől ott volt a kártevő az alkalmazásboltban, azaz sikeresen rejtőzött öt hónapig. A kutatók most már több mint kétmillióra becsülik az áldozatok számát. A kutatók orosz hackereket sejtenek a FalseGuide mögött.

CheckPoint

A FalseGuide igen ravasz, amikor letöltik, adminisztrációs jogot kér az eszközhöz, hogy később ne lehessen törölni. Ezután regisztrálja magát a Firebase Cloud Messaging keresztplatform üzenetküldő szolgáltatásba, amely lehetővé teszi a fejlesztőknek, hogy üzeneteket és értesítéseket küldjenek.

Miután előfizetett erre a szolgáltatásra, a FalseGuide lehetővé teszi a hackerek számára, hogy olyan üzeneteket küldjenek, amelyek további malware-ekhez kapcsolódnak, és ezeket is telepítik az eszközökre. Ezzel megengedik a támadóknak, hogy pop-up hirdetéseket jelenítsenek meg az eszközökön, nem kevés bevételhez jutva így. A CheckPoint kutatói arra is felhívták a figyelmet, hogy akár igen rosszindulatú kódok bejuttatására is van így lehetőség, amelyek DDoS-támadásokhoz is vezethetnek.

A CheckPoint oldalán megtalálható a FalseGuide-dal fertőzött appok listája. A Google ezeket már eltávolította alkalmazásboltjából, sajnos ettől függetlenül nagyon sokak telefonján aktívak ezek az appok, amelyeket még törölni sem lehet.