Cómo FalseGuide infectó 2 millones de dispositivos Android

Al descargar aplicaciones para Android, es de sentido común usar solo la aplicación Google Play. Después de todo, ¿quién sabe qué tipo de malware se incluye en las aplicaciones descargadas de sitios web aleatorios? Como tal, Google Play ha sido el lugar al que acudir para descargas de aplicaciones seguras y confiables. Desafortunadamente, aunque es el mejor lugar para obtener aplicaciones, ¡definitivamente no es infalible!

Recientemente se descubrió que una hebra de malware de Android, llamada FalseGuide, logró infectar hasta 2 millones de teléfonos Android. ¿Cómo hizo esto y qué significa para las aplicaciones en general?

El método

El nombre «FalseGuide» revela cómo se distribuyó la aplicación. Aprovecharon las aplicaciones de guías de juegos, un subconjunto popular de aplicaciones en la tienda de Android. Los jugadores siempre buscan guías para los juegos que juegan, ya sea porque es difícil o porque tiene mecánicas ocultas. Si bien buscar guías en línea no es una innovación nueva, las aplicaciones las han llevado a un nuevo formato interactivo. Esto significa que los jugadores de todo el mundo están visitando Google Play en busca de aplicaciones que les ayuden a mejorar los juegos que están jugando.

Los desarrolladores de malware introdujeron de contrabando FalseGuide haciéndolo pasar por una guía de juego. Estas guías maliciosas se escribieron para entradas populares, como Terraria y World of Tanks, para garantizar la máxima distribución. Una vez cargados, simplemente tenían que esperar a que miles de personas descargaran las guías. Las primeras señales de que algo andaba mal en el mundo de las guías de juegos aparecieron el 24 de abril de 2017, pero la aplicación más antigua encontrada con el malware instalado se cargó en Google Play el 14 de febrero de 2017. Esto significa que el malware tuvo un par de meses de tiempo libre. para circular entre dispositivos.

En lo que respecta a la distribución real del malware, acceder a Google Play lo hizo increíblemente fácil para los distribuidores de malware. Al pasar de contrabando el malware dentro de guías para juegos populares, la gente asumió que, debido a que estaba en Google Play, era 100% seguro descargarlo. Bajo la falsa suposición de que Play Store era infalible, la gente descargó las aplicaciones sin pensarlo dos veces, infectando sus propios dispositivos con FalseGuide. A través de esto, FalseGuide logró aterrizar en 2 millones de dispositivos en el espacio de 2 meses.

La lista completa de aplicaciones descubiertas con el malware se puede encontrar cerca de la parte inferior de la artículo oficial de Check Point.

En relación :  Cómo hacer que su teléfono Android se vea como un teléfono con Windows

¿Qué hace FalseGuide?

Cada pieza de malware tiene un propósito. Desde robar información hasta simplemente hacer daño, cada ataque malicioso tiene un motivo detrás. ¿Cuál es el objetivo de FalseGuide ahora que tiene 2 millones de dispositivos en su poder?

Los objetivos de FalseGuide son los siguientes:

  1. El usuario encuentra e inicia la descarga de una guía de juego infectada en su teléfono. La aplicación solicita permisos de instalación de «administrador del dispositivo» para que pueda llevar a cabo sus funciones. El usuario acepta esto e instala la aplicación.
  2. FalseGuide, ahora con permisos de administrador de dispositivos, se configura para que el usuario no pueda borrarlo.
  3. Luego, FalseGuide se registra en un servicio llamado «Firebase Cloud Messaging» sin el conocimiento del usuario. Este es un servicio que permite a los desarrolladores de aplicaciones enviar mensajes y notificaciones a sus aplicaciones y fue desarrollado con una intención inocente. FalseGuide ubica y se suscribe a un tema que comparte el mismo nombre que la aplicación en la que se entregó, luego espera más instrucciones.
  4. A través del tema de Firebase, FalseGuide puede recibir mensajes de los desarrolladores de malware para instalar y ejecutar comandos maliciosos.

El resultado es un malware indeleble que escucha y ejecuta los comandos que le da su distribuidor. Estos comandos pueden ir desde la instalación de programas publicitarios en teléfonos hasta el inicio de ataques DDoS en los servidores de las víctimas. En resumen, FalseGuide le da al distribuidor de malware rienda suelta para hacer lo que le plazca con el dispositivo del usuario.

¿Cómo fue aceptado?

falso-guía-juego-logo

El problema con aplicaciones como FalseGuide es que están disfrazadas de aplicaciones inocentes, que luego se vuelven maliciosas después de haber sido instaladas. Esto se hace asegurándose de que la aplicación base no contenga ningún código malicioso. Significa que la «aplicación del operador» pasará la evaluación de Google Play sin que se detecte malware.

Solo después de que esté instalado en un dispositivo durante mucho tiempo, recibirá instrucciones a través de Firebase. Estas instrucciones le dan a la aplicación el código malicioso que el malware requiere para funcionar. Esto permite que las redes de bots como FalseGuide se establezcan en Google Play mientras se deslizan bajo la estricta detección anti-malware.

Avanzando

A raíz de la creación de una botnet bajo las narices de Google, ¿qué podemos hacer nosotros, como usuarios, para evitar estos ataques?

Primero, si sospecha que su teléfono fue atacado con FalseGuide, asegúrese de descargar y ejecutar una solución antivirus confiable para Android. Si no está seguro de lo que es seguro y lo que no, ejecutamos una lista de aplicaciones antivirus recomendadas para que las pruebe.

En relación :  6 de las mejores aplicaciones de Android para entusiastas del deporte

permisos-de-guía-falsos

Independientemente de si fue infectado o no, esta historia es un recordatorio para tener cuidado con su dispositivo Android. Si bien Google Play es el lugar más seguro para descargar aplicaciones, definitivamente no es perfecto. Siempre lea la ventana emergente «Permisos del dispositivo» y asegúrese de que la aplicación no le solicite ir a lugares donde no debería. Si una aplicación simple comienza a solicitar permisos para áreas vitales de su teléfono, no la instale.

Usuarios equivocados

Con más de 2 millones de dispositivos infectados, FalseGuide es una advertencia sobre cómo no asumir que las aplicaciones son 100% seguras simplemente porque están en una tienda oficial de aplicaciones. Ahora sabe cómo funciona FalseGuide, cómo logró propagarse y cómo evitar un ataque similar en el futuro.

¿Alguna vez te ha infectado una aplicación de una tienda oficial de aplicaciones? ¡Cuéntanos tus historias en los comentarios!