FalseGuide, malware che colpisce gli utenti Android promettendo guide per giochi

Il malware FalseGuide è stato nascosto in più di 40 app di guide per i giochi nel Play Store, arrivando ad infettare circa 600.000 dispositivi.

Scritto da

Simone Ziggiotto

il

Le guide basate su popolari giochi per Android, tra cui Fifa e Pokemon Go, sono state utilizzate per infettare oltre 500.000 dispositivi con malware, ha segnalato la società di sicurezza informatica Check Point. Queste app pericolose, trovate nel Google Play Store, sono state progettate per prendere il controllo dei dispositivi prima di scaricare il malware, come ha riportato BBC News.

Attenzione: la società di sicurezza non punta il dito contro le applicazioni ufficiali come le sopra citate Fifa e Pokemon Go, le quali sono sicure, ma le app pericolose sono quelle guide non ufficiali del tipo ‘Guida a come giocare a Pokemon GO’ che spesso sono pure inutili.

I ricercatori di Check Point hanno pubblicato il rapporto in cui hanno rivelato FalseGuide il 24 aprile, ma con un aggiornamento successivo hanno riportato che il caso "è molto più ampio di quanto originariamente segnalato", trovando applicazioni pericolose che erano state caricate nell’archivio app già nel novembre 2016, il che significa che sono state presenti nel Play Store a disposizione degli utenti per cinque mesi, "accumulando un numero incredibile di download".

Il malware, soprannominato "FalseGuide", è stato nascosto in più di 40 app di guide per i giochi, con molte delle applicazioni che sono riuscite a raggiungere più di 50.000 installazioni e il numero totale di dispositivi infetti è stimato a 600.000 dispositivi.

La società di sicurezza ha detto di aver segnalato a Google le app trovate col malware, che sono state prontamente rimosse.

Quali rischi si corrono con FalseGuide? Simile a malware precedente trovati su Google Play, come Viking Horde e DressCode, FalseGuide crea un botnet nascosto nei dispositivi infetti per scopi ‘adware’. Un botnet è un gruppo di bot controllati da hacker senza la conoscenza dei proprietari del device che vengono usati per diversi scopi. Come è il caso per altri malware, anche FalseGuide richiede un’autorizzazione insolita per poter essere installato: l’utente deve dare all’app col malware l’autorizzazione di poter amministrare il dispositivo. Il malware utilizza quindi questa autorizzazione per evitare di essere successivamente eliminato dall’utente. Il malware si connette poi a server cloud usati dagli hacker per ricevere messaggi contenenti link a moduli aggiuntivi da scaricare sul dispositivo e infettarlo. Dopo diversi test, i ricercatori di Check Point hanno scoperto che il botnet viene utilizzato per visualizzare annunci popup illegittimi fuori dal contesto, utilizzando un servizio in background che inizia a funzionare una volta che il dispositivo viene avviato. A seconda degli obiettivi degli hacker, questi moduli aggiuntivi possono contenere codice altamente dannoso per prendere possesso del dispositivo, avviare un attacco DDoS o anche violare le reti private.

Secondo Check Point, FalseGuide viene mascherato nelle applicazioni che promettono guide per giochi per due motivi principali. Il primo è che le applicazioni che offrono guide sono molto popolari, in quanto provano ad approfittare del successo del gioco originale. Secondo, le applicazioni che offrono guide richiedono poco tempo per l’installazione. "Per gli sviluppatori di malware questo è un buon modo per raggiungere un pubblico diffuso con uno sforzo minimo" si legge nel rapporto della società di sicurezza.

Check Point ha inoltre riportato che le applicazioni malevoli sono state presentate con nomi di due sviluppatori falsi di provenienza russa.

I botnet mobile sono una tendenza crescente dall’inizio del 2016, avverte Check Point, diventando sempre piu’ sofisticati. Secondo i ricercatori, questo tipo di malware riesce ad infiltrarsi su Google Play a causa della natura non dannosa del primo componente che l’utente deve scaricare; è una volta scaricato questo sul dispositivo che l’app in automatico va a scaricare moduli aggiuntivi che contengono i pericoli piu’ dannosi.

Impostazioni privacy