Malver ForceGuide inficirao 2 miliona Android uređaja

Mobilni telefoni, 26.04.2017, 09:30 AM

Oko 600000 korisnika Androida inficiralo je svoje uređaje malverom koga su preuzeli iz zvanične Googleove prodavnice Play.

Istraživači iz firme Check Point otkrili su malver koji je bio sakriven u 40 aplikacija, vodiča za popularne igrice, kao što su Pokemon GO i FIFA Mobile. Malver je nazvan FalseGuide.

Istraživači su najpre mislili da je prvi lažni vodič dospeo u Play prodavnicu u februaru ove godine, ali je njihova detaljna istraga pokazala da su se prve takve aplikacije pojavile u Play prodavnici u novembru prošle godine.

Prva procena je bila da je FalseGuide inficirao oko 600000 korisnika, ali bi taj broj mogao biti i znatno veći - najnovije procene govore da je oko 2 miliona Android uređaja inficirano ovim malverom. U pitanju su korisnici Androida koji su nenamerno preuzeli i instalirali malver na svojim uređajima, tražeći uputstva za omiljene igrice.

Posle infekcije, FalseGuide pridružuje inficirani uređaj bot mreži.

FalseGuide traži neobičnu dozvolu prilikom instalacije - dozvolu administratora uređaja koja malveru služi da izbegne uklanjanje od strane korisnika. Ta dozvola treba da upozori korisnika na loše namere malvera. Malver se zatim registruje na temu Firebase Cloud Messaging koja ima isto ime kao i aplikacija. Kada se prijavi na ovu temu, FalseGuide može da prima poruke koje sadrže linkove za dodatne module i preuzima ih na inficirani uređaj.

Pomenuta bot mreža se koristi za prikazivanje nelegitimnih popup reklama, koristeći servis koji radi u pozadini koji se pokreće kada se uključi uređaj.

"U zavisnosti od ciljeva napadača, ovi moduli mogu da sadrže veoma zlonamerni kod za rootovanje uređaja, izvođenje DDoS napada, ili čak prodor u privatne mreže", kažu iz Check Pointa.

Aplikacije su predstavljene kao vodiči za igre FIFA Mobile, Lego Nexo Knights, Lego City My City, Rolling Sky, Terraria, World of Tanks, Drift Zone 2, Mobile Legends, Criminal Case, Subway Surfers, Pokemon Go, Dream League Soccer, Super Mario, Amaz3ing Spider Man, Ninjago Tournament itd.

Od početka prošle godine primetno je da raste popularnost bot mreža. Ova vrsta malvera uspeva da se ubaci na Google Play, zahvaljujući nemalicioznoj prirodi prve komponente, koja ustvari preuzima štetni kod.

FalseGuide je sada uklonjen iz Play prodavnice.