Специалисты компании Check Point сообщают, что в Google Play вновь была обнаружена малварь, на этот раз замаскированная под популярные игры.
Исследователи пишут, что вредонос FalseGuide распространялся через приложения, которые выдавали себя за популярные игры, к примеру, Pokemon GO или FIFA Mobile. Изначально малварь была обнаружена в составе более чем 40 приложений, самое старое из которых было загружено в Google Play еще в феврале 2017 года. Некоторые из этих приложений были установлены более 50 000 раз, а суммарное количество зараженных устройств специалисты оценили примерно в 600 000.
Поведение FalseGuide напомнило исследователям о вредоносных кампаниях Viking Horde и DressCode. FalseGuide точно так же создает ботнет из зараженных устройств, и основная направленность вредоноса – это adware, хотя FalseGuide также может загружать дополнительные модули и использоваться для DDoS-атак, загрузки дополнительных приложений, проникновения в защищенные сети и других задач.
Исследователи пишут, что при установке FalseGuide запрашивает права администратора устройства, что должно сразу вызвать подозрения у пользователей. Вредонос использует права администратора, чтобы потом не дать пользователю себя удалить. Связь со своими операторами малварь поддерживает весьма необычным способом: через Firebase Cloud Messaging (FCM).
Аналитики Check Point уведомили Google о проблеме, и компания быстро удалила все приложения из официального каталога. Однако в начале апреля 2017 года исследователи заметили, что FalseGuide вновь проник в Google Play, и новые вредоносные приложения тоже были удалены.
Теперь специалисты пишут, что на днях было найдено еще пять приложений с FalseGuide, из чего они делают вывод, что вредоносная кампания намного обширнее, чем предполагалось ранее. Разработчиком обнаруженных приложений был указан некий «Анатолий Хмеленко». Известно, что разработчиками предыдущих вредоносных приложений также были пользователи с русскими именами. Как оказалось, приложения Хмеленко были загружены в Google Play еще в ноябре 2016 года, и в течение полугода успешно избегали обнаружения.
Исследователи сообщают, что новая находка заставила их пересмотреть свой прогноз. Теперь, по оценкам компании, заражено уже около двух миллионов пользователей. Полный список приложений, зараженных FalseGuide, доступен в блоге компании.
