Миллионы пользователей могли скачать вредоносные программы FalseGuide

Самый старый из зараженных приложений мог быть загружен в Google Play еще в ноябре прошлого года, и он успешно скрывался в течение пяти месяцев, в то время как самые последние могут быть загружены совсем недавно, как в начале этого месяца. Вредоносная программа заразила почти 50 приложений-путеводителей для популярных игр.
Check Point предупредил Google о наличии вредоносного ПО, и Google быстро отреагировал, удалив зараженные приложения из своего интернет-магазина приложений, сказали они.

Приложения были представлены двумя фальшивыми разработчиками: «Сергей Верник» и «Николай Залупкин». Имена могут указывать на то, что русская связь с вредоносными программами была признана Кориатом, Полковниченко и Мельниковым, но они также отметили, что «Залупкин» будет звучать под настроение у русскоговорящего спикера.

По их словам, инфицированные приложения могут быть особенно опасны, поскольку FalseGuide может использовать ботнет для гнусных целей - от отправки рекламного ПО до проведения DDоS-атаки или даже для проникновения в частную сеть. Эти высокие уровни возможны, потому что приложения запрашивают разрешение администратора устройства при загрузке. Это необычный запрос, который предполагает наличие злонамеренных намерений, так как он не позволяет пользователю удалять приложение. FalseGuide регистрируется в разделе обмена сообщениями Firebase Cloud с тем же именем, что и приложение, что позволяет ему получать дополнительные модули, которые затем создают тихий ботнет.

Создатели вредоносного ПО FalseGuide, вероятно, хотели, чтобы он маскировался под руководства по игре, которые популярны и фактически основываются на денежном успехе их связанных приложений. Они требуют очень мало времени разработки и ограничены в реализации функций. Одна из причин того, что зараженные приложения могут обмануть пользователей, заключается в том, что на платформе Android «модель безопасности практически полностью или полностью недоступна», сказал сказал Джим Пуртило, доцент кафедры информатики Университета штата Мэриленд.
«Когда вы устанавливаете приложение, оно будет запрашивать доступ к сети или вашим контактам или любому из нескольких других ресурсов - и обычно вы не можете установить приложение, не согласившись», - сказал Пуртило.
«Иногда то, что он просит, может поднять красный флаг. Почему приложение для фонарика должно быть в ваших списках контактов? Но, к сожалению, обоснование приложения, нуждающегося в некоторой услуге, может быть нечетким, поэтому даже опытные пользователи убаюкивают согласие, не задумываясь» добавил он. «Они просто доверяют источнику - в этом случае Google Play».
Google пока ответил единственным возможным способом - удалив зараженные приложения из Google Play. Однако, учитывая, что некоторые из этих руководств относятся к началу ноября, похоже, компания явно не защитила своих клиентов.

Решение проблемы
Единственное, что сейчас могут сделать пользователи, просто сбросить настройки и быть впредь осторожными. Но эти шаги, возможно, недостаточны для удаления ПО.
Проблема частично заключается в доверии и его последующей потере, особенно, когда люди ожидают, что Google Play проверяют и он безопасен, поэтому бдительность пользоватей отключена.
«Это служит напоминанием о том, как читать права, которые запрашивает каждое приложение», - сказал Эндерле.