2 млн пользователей загрузили вредоносное ПО FalseGuide прямиком из Google Play

2 млн пользователей загрузили вредоносное ПО FalseGuide прямиком из Google Play

FalseGuide делает устройство частью ботнета для рассылки рекламы.

image

Порядка 2 млн пользователей установили на свои Android-устройства вредоносное ПО FalseGuide непосредственно из официального магазина приложений Google Play. Как сообщают исследователи Check Point, вредонос был скрыт в более 40 поддельных гайдов для популярных игр, таких как Pokemon GO и FIFA Mobile.

Первоначально предполагалось, что FalseGuide был загружен в Google Play в феврале текущего года, однако, как показал более подробный анализ, приложения появились в магазине еще в ноябре 2016 года.

Установившись на устройство, вредонос делает его частью ботнета, используемого для рассылки рекламы. В процессе инсталляции приложение запрашивает права администратора устройства. Когда FalseGuide получает требуемые привилегии, пользователь больше не может удалить его с устройства. Далее вредонос регистрирует себя в теме Firebase Cloud Messaging с тем же названием, что и приложение. Подписавшись на тему, FalseGuide может получать сообщения с ссылками на дополнительные модули, впоследствии загружаемые на устройство.

По данным Check Point, ботнет используется для отображения легитимных всплывающих рекламных уведомлений вне контекста с помощью фоновых сервисов, активирующихся при каждой загрузке устройства. В зависимости от цели, злоумышленники могут загружать дополнительные модули для получения прав суперпользователя, осуществления DDoS-атак или проникновения в частные сети.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.