Dai 600000 di qualche mese fa siamo giunti a oltre 2 milioni di utenti Android che hanno inavvertitamente scaricato e installato questo nuovo tipo di malware attraverso Google Play. Il malware si nascondeva all’interno di una quarantina di guide fake per giochi come Pokemon Go e FIFA Mobile.
Ribattezzato FalseGuide, questo malware crea un botnet silenzioso che si aggira all’interno dei dispositivi infetti per distribuire adware mobile fraudolenti in grado di fornire guadagni ai cybercriminali.
Da un primo rilevamento sembrava che nella prima trance di attacchi avvenuta in febbraio fossero 600000 gli utenti infettati, invece dalle ultime stime degli attacchi più recenti si è giunti ad un volume di dispositivi infetti molto più elevato, pari appunto a oltre 2000000. La cosa curiosa è che queste app malevole hanno potuto agire senza nessun problema, sono state caricate su Google Play e per mesi e mesi sono state scaricate da centinaia di migliaia di utenti.
Secondo i ricercatori di Check Point che hanno scovato e studiato il malware, l’origine di FalseGuide verrebbe dalla russia. Hanno trovato infatti in 5 di queste differenti app, contenenti il malware FalseGuide, la firma tradotta dal russo di un tale Anatoly Khmelenko. Inoltre il primo batch delle app malevole è stata sottomessa con il nome di due sviluppatori fake russi, Sergei Vernik e Nikolai Zalupkin, ciò fa supporre che probabilmente il malware venga dalla Russia.
Nelle sue caratteristiche FalseGuide ha quella di trasformare i dispositivi infetti in una botnet questa peculiarità potrebbe consentire all’operatore di controllare i dispositivi senza che i proprietari dei dispositivi ne siano a conoscenza. In particolare funziona in questo modo: durante il download sul telefono della vittima, FalseGuide richiede autorizzazioni amministrative al dispositivo nel tentativo di evitare di essere eliminato dall’utente. Il malware si registra quindi con Firebase Cloud Messaging – un servizio di messaggistica cross-platform che consente agli sviluppatori di applicazioni di inviare messaggi e notifiche. Una volta sottoscritto a questo servizio, FalseGuide può consentire agli attaccanti di inviare messaggi contenenti collegamenti a ulteriori malware e installarli sul dispositivo infetto, permettendo agli aggressori di visualizzare annunci popup illeggibili fuori dal contesto e generare entrate.
A seconda dei loro obiettivi, gli attaccanti potrebbero anche iniettare un codice altamente dannoso in un dispositivo infetto per radicarlo, condurre un attacco di Denial of Service Distributed (DDoS), o addirittura penetrare nelle reti private.
Google ha rimosso le app nel quale si nascondevano questi malware, i ricercatori di Check Point hanno diffuso la lista che raccoglie tutte le guide in cui queste malicious app si presentavano come le guide per FIFA Mobile, Criminal Case, Super Mario, Subway Surfers, Pokemon Go, Lego Nexo Knights, Lego City My City, Ninjago Tournament, Rolling Sky, Amaz3ing Spider-Man, Drift Zone 2, Dream League Soccer, e molti altri.
Da Check Point avevano notificato a Google la presenza di FalseGuide già in febbraio, dopo di che la società ha rimosso in silenzio le applicazioni malware dal Play Store. Ma dopo che queste sono state rimosse, la app malevole sono rimaste comunque attive in molti dispositivi, molti utenti di Android sono rimasti vulnerabili ai cyber-attacchi.
I ricercatori di Check Point affermano che le botnet mobili sono una tendenza crescente fin dall’inizio dello scorso anno, crescono sia nella sofisticazione che nella portata. Questo tipo di malware riesce a infiltrarsi su Google Play grazie alla natura non dannosa del primo componente che di fatto poi scarica il codice dannoso effettivo.
Ma come possiamo proteggerci da questa tipologia di malware?
Ecco alcune misure di protezione standard che è bene seguire per cercare di rimanere inalterati:
– Scaricate sempre le vostre app assicurandovi che provengano da sviluppatori affidabili e verificati, attenendovi a delle fonti attendibili come Google Play Store ed Apple App Store;
– Verificate sempre le autorizzazioni dell’applicazione prima di installare le app. Se un’applicazione richiede più del necessario, semplicemente non installatela;
– Tenete una buona applicazione antivirus sul vostro dispositivo in grado di rilevare e bloccare tali malware prima che questi possano infettare il vostro device. Tenetelo sempre aggiornato;
– Non scaricate app da risorse di terze parti. Anche se in questo caso l’applicazione viene distribuita attraverso il Play Store ufficiale, spesso tali malware vengono distribuiti tramite negozi di applicazioni di terze parti non attendibili;
– Evitate reti e hotspot wi-fi insicure e tenete la vostra wi-fi spenta quando non la utilizzate;
– Fate attenzione a quelle applicazioni che chiedono diritti amministrativi. I diritti di amministratore sono potenti e possono dare ad un’app un controllo completo del dispositivo;
– Non fate mai clic su link in SMS o MMS inviati al vostro cellulare. Anche se la posta elettronica sembra legittima, andate direttamente al sito web di origine e verificate eventuali aggiornamenti.
