La botnet che distribuisce advertising fraudolenti, ha infettato circa 2 milioni di utenti

android-malware

FalseGuide è un nuovo malware, scoperto dal team di ricerca di Check Point Software Technologies, azienda israeliana specializzata in soluzioni di cybersecurity, individuato in ben 45 applicazioni di guide per giochi presenti su Google Play.

Da segnalare che le ultime 5 applicazioni sviluppate da “Анатолий Хмеленко”, identificate dopo il 24 aprile, data della prima pubblicazione realizzata da Check Point su questa scoperta, erano già state caricate nello store a novembre 2016.

Questo significa che le ultime 5 applicazioni sono rimaste nascoste con successo per cinque mesi, accumulando un numero incredibile di download.

La stima aggiornata include quasi 2 milioni di utenti infetti.

Naturalmente il malware è già stato segnalato da Check Point a Google, che ha rimosso rapidamente dallo store tutte le finte guide.

In passato altri malware simili a FalseGuide sono stati individuati su Google Play, come Viking Horde e DressCode.

FalseGuide crea una botnet silenziosa che distribuisce advertising fraudolenti. FalseGuide richiede un permesso insolito durante l’installazione – l’amministrazione del dispositivo. Il malware sfrutta tale permesso per evitare di essere eliminati dall’utente, un’azione che normalmente suggerisce un comportamento maligno. Il malware si registra poi a un topic di Firebase Cloud Messaging che ha lo stesso nome dell’app. Una volta iscritto al topic, FalseGuide può ricevere messaggi contenenti link a moduli aggiuntivi da scaricare sul dispositivo infetto.

Dopo una lunga attesa, i ricercatori di Check Point sono riusciti a ricevere un modulo di questo tipo e stabilire che la botnet veniva utilizzata per distribuire annunci pop-up malevoli fuori contesto, utilizzando un servizio di background che inizia a girare una volta che il dispositivo viene riavviato. Questi moduli possono contenere codici altamente dannosi per infettare il dispositivo, lanciare un attacco DDoS o anche contaminare reti private.

Due sono le ragioni principali per cui spesso i malware vengono mascherati da app di guide per i giochi. La prima è abbastanza ovvia: le guide per i giochi sono molto popolari tra gli utenti. Secondo, questo tipo di applicazioni non sono complicate da sviluppare, rendendo questa una grande opportunità per i programmatori di malware per raggiungere migliaia di utenti con uno sforzo pari a zero.

I botnet mobile sono in crescita sia dal punto di vista della sofisticazione sia dal punto di vista della diffusione, per questo motivo, Check Point raccomanda agli utenti di essere molto prudenti quando si scaricano le applicazioni e di considerare un eventuale sistema di protezione sui propri dispositivi mobili, pari a quello utilizzato sui computer PC.