Wie FalseGuide 2 Millionen Android-Geräte infizierte
Beim Herunterladen von Apps für Android ist es sinnvoll, nur die Google Play App zu verwenden. Wer weiß schon, welche Art von Malware in Apps enthalten ist, die von beliebigen Websites heruntergeladen wurden? Daher war Google Play der richtige Ort für sichere und zuverlässige App-Downloads. Leider ist es zwar der beste Ort, um Apps zu bekommen, aber es ist definitiv nicht idiotensicher!
Kürzlich wurde entdeckt, dass eine Reihe von Android-Malware namens FalseGuide es geschafft hat, bis zu 2 Millionen Android-Telefone zu infizieren. Wie hat es das gemacht und was bedeutet es für Apps insgesamt?
Die Methode
Der Name "FalseGuide" verrät, wie die App verteilt wurde. Sie nutzten Game-Guide-Apps, eine beliebte Teilmenge von Apps im Android Store. Spieler suchen immer nach Leitfäden für Spiele, die sie spielen, entweder weil es schwierig ist oder versteckte Mechaniken hat. Online-Nachschlagewerke sind keine neue Innovation, Apps haben sie in ein neues interaktives Format gebracht. Das bedeutet, dass Spieler auf der ganzen Welt Google Play für Apps besuchen, um die Spiele zu schlagen, die sie spielen.
Malware-Entwickler schmuggelten in FalseGuide, indem sie es als Spielanleitung maskierten. Diese bösartigen Anleitungen wurden für beliebte Einträge wie Terraria und World of Tanks geschrieben, um eine maximale Verbreitung zu gewährleisten. Einmal hochgeladen, mussten sie einfach warten, bis die Leute die Guides zu Tausenden heruntergeladen hatten. Die ersten Anzeichen, dass etwas in der Welt der Game Guides nicht in Ordnung war, erschienen am 24. April 2017, aber die älteste App, die mit der installierten Malware gefunden wurde, wurde am 14. Februar 2017 auf Google Play hochgeladen. Das bedeutet, dass die Malware ein paar Monate Freizeit hatte zwischen den Geräten zirkulieren.
Was die Verbreitung der Malware betrifft, so war es für die Malware-Verteiler unglaublich einfach, auf Google Play zu gelangen. Durch das Einschleusen der Malware in die Guides für beliebte Spiele wurde angenommen, dass es sich bei Google Play 100% sicher herunterladen ließe. Unter der falschen Annahme, dass der Play Store unfehlbar sei, luden die Nutzer die Apps ohne zu zögern herunter und infizierten ihre eigenen Geräte mit FalseGuide. Dadurch schaffte es FalseGuide innerhalb von 2 Monaten auf 2 Millionen Geräte zu landen.
Die vollständige Liste der erkannten Apps mit der Malware finden Sie am unteren Rand des offiziellen Check Point-Artikels.
Was macht FalseGuide?
Jede Malware hat ihren Zweck. Vom Diebstahl von Informationen bis zum bloßen Schaden, jeder bösartige Angriff hat ein Motiv dahinter. Was ist das Ziel von FalseGuide jetzt, wo es 2 Millionen Geräte im Griff hat?
Die Ziele von FalseGuide sind wie folgt:
- Der Benutzer findet und initiiert den Download eines infizierten Spielführers auf seinem Telefon. Die App fragt nach "Device Admin" Installationsberechtigungen, damit sie ihre Aufgaben ausführen kann. Der Benutzer akzeptiert dies und installiert die App.
- FalseGuide, jetzt mit Geräteadministratorberechtigungen, richtet sich so ein, dass es vom Benutzer nicht gelöscht werden kann.
- FalseGuide meldet sich dann ohne Wissen des Benutzers bei einem Dienst namens "Firebase Cloud Messaging" an. Dies ist ein Dienst, der es App-Entwicklern ermöglicht, Nachrichten und Benachrichtigungen an ihre Apps zu senden und wurde mit unschuldiger Absicht entwickelt. FalseGuide sucht und abonniert ein Thema, das denselben Namen wie die App hat, in der es geliefert wurde, und wartet dann auf weitere Anweisungen.
- Über das Firebase-Thema kann FalseGuide dann Nachrichten von Malware-Entwicklern erhalten, um schädliche Befehle zu installieren und auszuführen.
Das Ergebnis ist eine nicht löschbare Malware, die Befehle des Verteilers überwacht und ausführt. Diese Befehle reichen von der Installation von Adware auf Telefonen bis hin zur Initiierung von DDoS-Angriffen auf Opferservern. Kurz gesagt, bietet FalseGuide dem Malware-Verteiler die Freiheit, mit dem Gerät eines Benutzers nach Belieben zu arbeiten.
Wie wurde es akzeptiert?
Das Problem mit Apps wie FalseGuide ist, dass sie als unschuldige Apps getarnt sind, die nach der Installation bösartig werden. Dies geschieht, indem sichergestellt wird, dass die Basis-App keinen schädlichen Code enthält. Das bedeutet, dass die "Carrier App" die Google Play-Überprüfung ohne Erkennung von Malware passieren wird.
Erst nachdem es für lange Zeit auf einem Gerät installiert wurde, erhält es Anweisungen über Firebase. Diese Anweisungen geben der App dann den bösartigen Code, den die Malware benötigt, um zu funktionieren. Dies ermöglicht es Botnets wie FalseGuide, sich bei Google Play zu etablieren, während sie unter der strengen Anti-Malware-Erkennung gleiten.
Vorwärts gehen
Im Gefolge eines Botnetzes, das unter Googles Nase aufgebaut wird, was können wir als Benutzer tun, um diese Angriffe zu vermeiden?
Wenn Sie vermuten, dass Ihr Telefon mit FalseGuide infiziert wurde, stellen Sie sicher, dass Sie eine vertrauenswürdige Antivirus-Lösung für Android herunterladen und ausführen. Wenn Sie nicht sicher sind, was sicher ist und was nicht, haben wir eine Liste empfohlener Antiviren-Apps für Sie erstellt.
Unabhängig davon, ob Sie infiziert wurden oder nicht, ist diese Geschichte eine Erinnerung, mit Ihrem Android-Gerät vorsichtig zu sein. Während Google Play der sicherste Ort ist, um Apps herunterzuladen, ist es definitiv nicht perfekt! Lies immer das Popup "Geräteberechtigungen" und vergewissere dich, dass die App nicht darum bittet, dorthin zu gehen, wo es nicht sein sollte. Wenn eine einfache App nach Berechtigungen für wichtige Bereiche Ihres Telefons fragt, installieren Sie sie nicht.
Fehlgeleitete Benutzer
Mit über 2 Millionen infizierten Geräten ist FalseGuide eine Warnung, wie man nicht davon ausgehen kann, dass Apps 100% sicher sind, nur weil sie in einem offiziellen App Store sind. Jetzt wissen Sie, wie FalseGuide funktioniert, wie es sich verbreitet hat und wie Sie in Zukunft einen ähnlichen Angriff vermeiden können.
Wurdest du jemals von einer App aus einem offiziellen App Store infiziert? Erzähl uns deine Geschichten in den Kommentaren!