El malware FalseGuide fue encontrado en varias aplicaciones de Android que se han instalado en más de dos millones de usuarios.
Descubierto por Trend Micro, el enfoque principal de FalseGuide está en infectar y añadir tantos dispositivos a una red de bots de gestión centralizada. El propósito de este botnet es mostrar anuncios no solicitados a las víctimas, a través de ventanas emergentes u otros medios.El propósito de FalseGuide no es diferente de otras familias de malware Android como regla de etiqueta. La diferencia es cómo los operadores FalseGuide logran esto.
FalseGuide difusión a través de aplicaciones Guía del juego
El grupo detrás FalseGuide se está extendiendo este malware a través de más de 40 aplicaciones de guía de juegos subidos a la Play Store por tres desarrolladores con los nombres Анатолий Хмеленко (Anatoly Khmelenko), Sergei Vernik, y Nikolai Zalupkin."FalseGuide se hace pasar por aplicaciones de guía para los juegos por dos razones principales", investigadores de Trend Micro explica. "En primer lugar, las aplicaciones de guía son muy populares, obteniendo beneficios en el éxito de las aplicaciones de juegos originales. En segundo lugar, guiando aplicaciones requieren muy poco desarrollo y la implementación de características. Para los desarrolladores de malware, esta es una buena manera de llegar a un público más amplio con el mínimo esfuerzo."
De acuerdo con informes separados de Trend Micro y Zimperium, el proceso de infección es bastante complejo y específicamente diseñado para evitar la detección.
Los usuarios conscientes acerca de los permisos que otorgan las aplicaciones pueden identificar rápidamente que algo está mal, porque las aplicaciones infectadas por FalseGuide piden "Administrador de dispositivos", un permiso que crea una cuenta de administrador independiente para la aplicación.
Las aplicaciones Guía del juego no son más que una colección overhyped de imágenes y texto, así que no debería haber ninguna razón para dar una aplicación con las características de una página web de su propia cuenta de administrador por separado.
Pero dado que la mayoría de los usuarios generalmente ignoran la pantalla de solicitud de permisos durante el proceso de instalación de una aplicación, estas aplicaciones se las arreglan para conseguir lo que piden, por lo tanto, los dos millones de víctimas FalseGuide ha hecho hasta ahora.
En los teléfonos en los que la aplicación obtiene derechos de administrador, la aplicación se conectará a un hilo Firebase mensajería en la nube y estará en espera.
Operadores FalseGuide pueden utilizar este hilo para empujar Firebase módulos que todos los teléfonos infectados descargará y ejecutará sin el conocimiento o consentimiento del propietario del teléfono.
Trend Micro dice que estos módulos tienen las capacidades a la raíz del dispositivo del usuario, lanzar ataques DDoS, trabajo como puntos de relevo para llegar a las redes privadas, o mostrar anuncios a los huéspedes infectados.
Si bien actualmente FalseGuide sólo se ha utilizado para mostrar anuncios, el peligro de que el malware con tal funcionalidad sigiloso y amplia en su dispositivo es obvia, ya que el software malicioso siempre podía hacer un giro en U y comenzar a recoger datos sensibles desde el dispositivo del usuario.
Por otra parte, los usuarios se les suele decir a instalar aplicaciones desde Play Store oficial porque Google escanea y veterinarios todas las aplicaciones. Esto no ha sido así en los últimos meses, y el Play Store no ha sido un lugar seguro ya. Familias de malware, como gamuza , MilkyDoor o BankBot han encontrado consistentemente formas de infiltrarse defensas de Google, una y otra vez.
Google ha eliminado todas las aplicaciones que Trend Micro ha encontrado con el malware FalseGuide. Una lista completa de aplicaciones infectadas con FalseGuide está disponible aquí , y se puede comprobar y ver si se ha instalado cualquiera de ellos desde 2016 de noviembre. Fecha actualización el 2021-4-26. Fecha publicación el 2017-4-26. Categoría: Malware. Autor: Oscar olg Mapa del sitio Fuente: bleepingcomputer