Hoe FalseGuide 2 miljoen Android-apparaten heeft geïnfecteerd
Bij het downloaden van apps voor Android is het logisch om alleen de Google Play-app te gebruiken. Immers, wie weet wat voor soort malware wordt gebundeld in apps gedownload van willekeurige websites? Als zodanig is Google Play dé plek geweest voor veilige en betrouwbare app-downloads. Helaas, terwijl het de beste plaats is om apps te krijgen, is het zeker niet onfeilbaar!
Onlangs werd ontdekt dat een onderdeel van Android-malware, FalseGuide genaamd, erin slaagde om tot 2 miljoen Android-telefoons te infecteren. Hoe heeft dit het gedaan en wat betekent dit voor apps als geheel?
De methode
De naam "FalseGuide" geeft weg hoe de app werd gedistribueerd. Ze maakten gebruik van game guide-apps, een populaire subset van apps in de Android Store. Gamers zijn altijd op zoek naar gidsen voor games die ze spelen, hetzij omdat het moeilijk is, of omdat ze verborgen mechanica hebben. Terwijl online gidsen zoeken geen nieuwe innovatie is, hebben apps ze in een nieuw interactief formaat gebracht. Dit betekent dat gamers over de hele wereld Google Play voor apps bezoeken om hen te helpen de games te verslaan die ze spelen.
Malware-ontwikkelaars gesmokkeld in FalseGuide door het te vermommen als een spelgids. Deze kwaadwillige handleidingen zijn geschreven voor populaire inzendingen, zoals Terraria en World of Tanks, om maximale verspreiding te garanderen. Eenmaal geüpload, moesten ze gewoon wachten tot mensen de gidsen met duizenden downloaden. De eerste tekenen dat er iets niet klopte in de wereld van spelhandleidingen verschenen op 24 april 2017, maar de oudste app gevonden met de geïnstalleerde malware is op 14 februari 2017 geüpload naar Google Play. Dit betekent dat de malware een paar maanden vrije tijd had om te laten circuleren tussen apparaten.
Wat het daadwerkelijk verspreiden van de malware betreft, maakte het overstappen naar Google Play het ongelooflijk gemakkelijk voor de malware-distributeurs. Door de malware binnen handleidingen voor populaire spellen te smokkelen, namen mensen aan dat het, omdat het op Google Play stond, 100% veilig was om te downloaden. Onder de valse veronderstelling dat de Play Store onfeilbaar was, downloadden mensen de apps zonder erover na te denken en infecteerden ze hun eigen apparaten met FalseGuide. Hierdoor slaagde FalseGuide erin om binnen 2 maanden op 2 miljoen apparaten te landen.
De volledige lijst met gevonden apps met de malware is te vinden aan de onderkant van het officiële Check Point-artikel.
Wat doet FalseGuide?
Elk stukje malware heeft een doel. Van het stelen van informatie tot het simpelweg doen van schade, elke kwaadaardige aanval heeft een drijfveer achter zich. Wat is het doel van FalseGuide nu het 2 miljoen apparaten in zijn greep heeft?
De doelstellingen van FalseGuide zijn als volgt:
- De gebruiker vindt en start het downloaden van een geïnfecteerde spelgids op zijn telefoon. De app vraagt om installatieautoriteiten voor "apparaatbeheer", zodat deze zijn taken kan uitvoeren. De gebruiker accepteert dit en installeert de app.
- FalseGuide, nu met apparaatbeheerdersrechten, stelt zichzelf in zodat het niet door de gebruiker kan worden gewist.
- FalseGuide meldt zich vervolgens aan bij een service genaamd "Firebase Cloud Messaging" zonder medeweten van de gebruiker. Dit is een service waarmee app-ontwikkelaars berichten en meldingen naar hun apps kunnen verzenden en die met een onschuldige bedoeling zijn ontwikkeld. FalseGuide zoekt naar en onderschrijft een onderwerp met dezelfde naam als de app waarin het is afgeleverd en wacht vervolgens op verdere instructies.
- Via het Firebase-onderwerp kan FalseGuide vervolgens berichten van de ontwikkelaars van malware ontvangen om kwaadwillige opdrachten te installeren en uit te voeren.
Het resultaat is een niet-verwijderbaar stukje malware dat luistert naar en opdrachten uitvoert die door zijn distributeur zijn gegeven. Deze opdrachten kunnen variëren van het installeren van adware op telefoons tot het initiëren van DDoS-aanvallen op slachtofferservers. Kortom, FalseGuide geeft de malware-distributeur de vrije hand om te doen wat het wil met het apparaat van een gebruiker.
Hoe werd het geaccepteerd?
Het probleem met apps zoals FalseGuide is dat ze zijn vermomd als onschuldige apps, die vervolgens kwaadaardig worden nadat ze zijn geïnstalleerd. Dit wordt gedaan door ervoor te zorgen dat de basis-app geen schadelijke code bevat. Dit betekent dat de 'provider-app' de Google Play-screening voorbij zal gaan zonder dat malware wordt gedetecteerd.
Pas nadat het voor een lange tijd op een apparaat is geïnstalleerd, ontvangt het instructies via Firebase. Deze instructies geven de app dan de schadelijke code die de malware nodig heeft om te kunnen werken. Hierdoor kunnen botnets zoals FalseGuide zichzelf op Google Play laten glijden onder de strikte anti-malwaredetectie.
Vooruit gaan
Naar aanleiding van een botnet dat wordt opgezet onder de neus van Google, wat kunnen we, als gebruikers, doen om deze aanvallen te voorkomen?
Ten eerste, als u vermoedt dat uw telefoon is geraakt met FalseGuide, zorg er dan voor dat u een vertrouwde antivirusoplossing voor Android downloadt en uitvoert. Als u niet zeker weet wat veilig is en wat niet, hebben we een lijst met aanbevolen antivirus-apps uitgevoerd die u kunt proberen.
Ongeacht of je al dan niet bent geïnfecteerd, dit verhaal is een herinnering om voorzichtig te zijn met je Android-apparaat. Hoewel Google Play de veiligste plaats is om apps te downloaden, is het absoluut niet perfect! Lees altijd de pop-up "Apparaatrechten" en zorg ervoor dat de app niet vraagt om naar plaatsen te gaan waar dit niet zou moeten. Als een eenvoudige app toestemming vraagt voor belangrijke delen van je telefoon, installeer deze dan niet.
Misbruikte gebruikers
Met meer dan 2 miljoen geïnfecteerde apparaten is FalseGuide een waarschuwend verhaal over hoe je niet moet aannemen dat apps 100% veilig zijn, puur omdat ze in een officiële app store zijn. Nu weet u hoe FalseGuide werkt, hoe het zich heeft verspreid en hoe u een soortgelijke aanval in de toekomst kunt voorkomen.
Ben je ooit besmet geraakt door een app van een officiële app store? Vertel ons je verhalen in de reacties!