Κατά τη λήψη εφαρμογών για Android, είναι κοινή λογική η χρήση της εφαρμογής Google Play. Μετά από όλα, ποιος ξέρει τι είδους κακόβουλο λογισμικό είναι συνδεδεμένο μέσα σε εφαρμογές που έχουν ληφθεί από τυχαίες ιστοσελίδες; Ως εκ τούτου, το Google Play υπήρξε ο χώρος για την ασφαλή και αξιόπιστη λήψη εφαρμογών. Δυστυχώς, ενώ είναι το καλύτερο μέρος για να πάρετε εφαρμογές, σίγουρα δεν είναι ανόητο!

Πρόσφατα ανακαλύφθηκε ότι ένα τμήμα κακόβουλου λογισμικού Android, το οποίο ονομάζεται FalseGuide, κατόρθωσε να μολύνει έως 2 εκατομμύρια τηλέφωνα Android. Πώς το έκανε αυτό και τι σημαίνει για τις εφαρμογές ως σύνολο;

Η μέθοδος

Το όνομα "FalseGuide" δίνει το πώς διανεμήθηκε η εφαρμογή. Επικεντρώθηκαν στις εφαρμογές οδηγών παιχνιδιών, ένα δημοφιλές υποσύνολο εφαρμογών στο κατάστημα Android. Οι παίκτες πάντοτε αναζητούν οδηγούς για παιχνίδια που παίζουν, είτε επειδή είναι δύσκολο είτε έχουν κρυμμένους μηχανικούς. Ενώ αναζητούν τους οδηγούς στο διαδίκτυο δεν υπάρχει νέα καινοτομία, οι εφαρμογές τους έχουν φέρει σε μια νέα διαδραστική μορφή. Αυτό σημαίνει ότι οι παίκτες σε όλο τον κόσμο επισκέπτονται το Google Play για εφαρμογές για να τους βοηθήσουν να νικήσουν τα παιχνίδια που παίζουν.

Οι προγραμματιστές κακόβουλου λογισμικού λαθρεμπόρονται στο FalseGuide, μεταμφιεσμένοι ως οδηγός παιχνιδιών. Αυτοί οι κακοί οδηγοί γράφτηκαν για δημοφιλείς συμμετοχές, όπως Terraria και World of Tanks, για να εξασφαλιστεί η μέγιστη διανομή. Μετά τη φόρτωση, απλά έπρεπε να περιμένουν να κατεβάσουν οι οδηγοί οι χιλιάδες. Οι πρώτες ενδείξεις ότι κάτι ήταν κακό στον κόσμο των οδηγών παιχνιδιών εμφανίστηκε στις 24 Απριλίου 2017, αλλά η παλαιότερη εφαρμογή που βρέθηκε με το εγκατεστημένο κακόβουλο λογισμικό μεταφορτώθηκε στο Google Play στις 14 Φεβρουαρίου 2017. Αυτό σημαίνει ότι το κακόβουλο λογισμικό είχε μερικούς μήνες ελεύθερου χρόνου να κυκλοφορούν μεταξύ συσκευών.

Όσον αφορά στην πραγματικότητα τη διανομή του κακόβουλου λογισμικού, η πρόσβαση στο Google Play έκανε εξαιρετικά εύκολη τη χρήση των διανομέων κακόβουλου λογισμικού. Με το λαθρεμπόριο του κακόβουλου λογισμικού στους οδηγούς για δημοφιλή παιχνίδια, οι άνθρωποι υπολόγισαν ότι επειδή ήταν στο Google Play, ήταν 100% ασφαλές για λήψη. Κάτω από την εσφαλμένη υπόθεση ότι το Play Store ήταν αλάνθαστο, οι χρήστες κατέβασαν τις εφαρμογές χωρίς δεύτερη σκέψη, μολύνοντας τις δικές τους συσκευές με το FalseGuide. Μέσα από αυτό, το FalseGuide κατάφερε να προσγειωθεί σε 2 εκατομμύρια συσκευές μέσα σε διάστημα 2 μηνών.

Ο πλήρης κατάλογος των εφαρμογών που εντοπίστηκαν με το κακόβουλο λογισμικό μπορεί να βρεθεί κοντά στο κάτω μέρος του επίσημου άρθρου Check Point.

Τι κάνει το FalseGuide;

Κάθε κομμάτι κακόβουλου λογισμικού έχει σκοπό. Από το να κλέβουμε πληροφορίες σε απλά να κάνουμε ζημιά, κάθε κακόβουλη επίθεση έχει κίνητρο πίσω από αυτό. Ποιος είναι ο στόχος του FalseGuide τώρα που διαθέτει 2 εκατομμύρια συσκευές στη λαβή του;

Οι στόχοι του FalseGuide είναι οι εξής:

  1. Ο χρήστης εντοπίζει και ξεκινά τη λήψη ενός μολυσμένου οδηγού παιχνιδιών στο τηλέφωνό του. Η εφαρμογή ζητά άδεια εγκατάστασης "Device Admin" για να μπορεί να εκτελεί τα καθήκοντά της. Ο χρήστης αποδέχεται αυτό και εγκαθιστά την εφαρμογή.
  2. Το FalseGuide, τώρα με τα δικαιώματα διαχειριστή συσκευών, ορίζει τον εαυτό του έτσι ώστε να μην μπορεί να διαγραφεί από το χρήστη.
  3. Το FalseGuide εντάσσεται στη συνέχεια σε μια υπηρεσία που ονομάζεται "Firebase Cloud Messaging" χωρίς τη γνώση του χρήστη. Αυτή είναι μια υπηρεσία που επιτρέπει στους προγραμματιστές εφαρμογών να στέλνουν μηνύματα και ειδοποιήσεις στις εφαρμογές τους και αναπτύχθηκε με αθώα πρόθεση. Το FalseGuide εντοπίζει και εγγράφεται σε ένα θέμα που μοιράζεται το ίδιο όνομα με την εφαρμογή στην οποία παραδόθηκε και αναμένει περαιτέρω οδηγίες.
  4. Μέσω του θέματος Firebase, το FalseGuide μπορεί στη συνέχεια να λαμβάνει μηνύματα από τους προγραμματιστές κακόβουλου λογισμικού για την εγκατάσταση και εκτέλεση κακόβουλων εντολών.

Το αποτέλεσμα είναι ένα αόρατο κομμάτι κακόβουλου λογισμικού που ακούει και εκτελεί εντολές που του δίνει ο διανομέας του. Αυτές οι εντολές μπορεί να κυμαίνονται από την εγκατάσταση adware σε τηλέφωνα για την εκκίνηση επιθέσεων DDoS σε διακομιστές θυμάτων. Με λίγα λόγια, το FalseGuide δίνει στον διανομέα κακόβουλου λογισμικού την ευκολία να κάνει ό, τι θέλει με τη συσκευή ενός χρήστη.

Πώς έγινε δεκτή;

Το πρόβλημα με εφαρμογές όπως το FalseGuide είναι ότι είναι μεταμφιεσμένοι ως αθώες εφαρμογές, οι οποίες στη συνέχεια γίνονται κακόβουλες αφού εγκατασταθούν. Αυτό γίνεται με τη διασφάλιση ότι η βασική εφαρμογή περιέχει μηδενικό κακόβουλο κώδικα. Αυτό σημαίνει ότι η "εφαρμογή φορέα" θα περάσει την προβολή του Google Play χωρίς να εντοπιστεί κακόβουλο πρόγραμμα.

Μόνο αφού εγκατασταθεί σε μια συσκευή για μεγάλο χρονικό διάστημα, θα λάβει οδηγίες μέσω του Firebase. Αυτές οι οδηγίες δίνουν στην εφαρμογή τον κακόβουλο κώδικα που απαιτεί το κακόβουλο λογισμικό για να λειτουργήσει. Αυτό επιτρέπει στα botnets όπως το FalseGuide να εγκατασταθούν στο Google Play ενώ ολισθαίνουν κάτω από την αυστηρή ανίχνευση κατά του κακόβουλου λογισμικού.

Προχωρώντας μπροστά

Μετά από τη δημιουργία ενός botnet κάτω από τη μύτη της Google, τι μπορούμε, όπως κάνουν οι χρήστες, για να αποφύγουμε αυτές τις επιθέσεις;

Αρχικά, αν υποψιάζεστε ότι το τηλέφωνό σας χτυπήθηκε με το FalseGuide, βεβαιωθείτε ότι έχετε κατεβάσει και εκτελέσετε μια αξιόπιστη λύση αντιμετώπισης ιών για το Android. Αν δεν είστε σίγουροι για το τι είναι ασφαλές και τι όχι, χρησιμοποιήσαμε μια λίστα από συνιστώμενες εφαρμογές προστασίας από ιούς που μπορείτε να δοκιμάσετε.

Ανεξάρτητα από το αν ή όχι έχετε μολυνθεί, αυτή η ιστορία είναι μια υπενθύμιση για να είστε προσεκτικοί με τη συσκευή σας Android. Αν και το Google Play είναι το ασφαλέστερο μέρος για να κατεβάσετε εφαρμογές, δεν είναι σίγουρα τέλειο! Πάντα να διαβάζετε το αναδυόμενο παράθυρο "Δικαιώματα συσκευής" και βεβαιωθείτε ότι η εφαρμογή δεν ζητά να μεταβεί σε μέρη όπου δεν θα έπρεπε. Εάν μια απλή εφαρμογή αρχίζει να ζητάει άδειες σε ζωτικές περιοχές του τηλεφώνου σας, μην την εγκαταστήσετε.

Λανθασμένοι χρήστες

Με περισσότερα από 2 εκατομμύρια συσκευές μολυσμένα, το FalseGuide είναι μια προειδοποιητική ιστορία για το πώς να μην υποθέσουμε ότι οι εφαρμογές είναι 100% ασφαλείς μόνο και μόνο επειδή βρίσκονται σε ένα επίσημο κατάστημα εφαρμογών. Τώρα ξέρετε πώς λειτουργεί το FalseGuide, πώς κατάφερε να εξαπλωθεί και πώς να αποφύγετε μια παρόμοια επίθεση στο μέλλον.

Έχετε ποτέ μολυνθεί από μια εφαρμογή από ένα επίσημο κατάστημα εφαρμογών; Πείτε μας τις ιστορίες σας στα σχόλια!