El malware descubierto por Check Point ha recibido el nombre de FalseGuide y ha sido distribuido de forma silenciosa a través de 40 aplicaciones falsas de guías para juegos populares como FIFA Mobile y Pokémon Go. Una vez infectados los dispositivos, FalseGuide se dedicaba a desplegar publicidad fraudulenta en los dispositivos móviles que generaba ingresos para los cibercriminales.

En un principio Check Point creyó que había 600.000 dispositivos infectados, estimando que FalseGuide apareció en el mes de febrero de 2017. Sin embargo, en una investigación más exhaustiva descubrió dispositivos que fueron infectados en novimebre de 2016, lo que amplió el número de infectados hasta los dos millones actuales.

Un malware de origen ruso

FalseGuide podría ser un malware de origen ruso si se tiene observa a los autores de las distintas aplicaciones maliciosas encontradas en la Play Store. Las cinco últimas que aparecieron fueron desarrolladas por Anatoly Khmelenko, mientras que aplicaciones anteriores tienen como autores a Sergei Vernik y Nikolai Zalupkin, aunque se sospecha que podrían tratarse de pseudónimos.

La intención de los cibercriminales sería crear una botnet que les permitiera como operadores tomar el control de los dispositivos infectados sin conocimiento ni consentimiento de los legítimos propietarios.

Cuando una víctima descarga una aplicación con FalseGuide oculto en su interior, este pedirá permisos de administración para evitar ser borrado por el usuario. Una vez que la aplicación maliciosa haya conseguido los permisos requeridos, se registra a sí misma con Firebase Cloud Messaging, un servicio de mensajería multiplataforma que permite a los desarrolladores enviar mensajes y notificaciones.

Llegado a este punto, los atacantes pueden enviar mensajes que contienen enlaces a malware adicional con el fin de instalarlo en el dispositivo infectado con FalseGuide, abriendo la puerta al despliegue de publicidad emergente ilegítima y así generar ingresos para los ciberdelincuentes.

Pero la cosa no acaba aquí, ya que dependiendo de los objetivos, los atacantes podrían inyectar código malicioso adicional para rootear el dispositivo y provocar ataques DDoS o infiltrarse en redes privadas.

Google ya ha eliminado las aplicaciones maliciosas

Check Point notificó a Google sobre este problema el pasado mes de febrero. El gigante del buscador ha ido eliminando las aplicaciones con FalseGuide oculto de forma silenciosa. Estas son algunas de las aplicaciones y juegos para los cuales se han creado falsas guías que contenían el malware:

  • FIFA Mobile
  • Criminal Case
  • Super Mario
  • Subway Surfers
  • Pokemon Go
  • Lego Nexo Knights
  • Lego City My City
  • Ninjago Tournament
  • Rolling Sky
  • Amaz3ing Spider-Man
  • Drift Zone 2
  • Dream League Soccer

Los investigadores en seguridad han argumentado que las aplicaciones maliciosas pasaron los filtros de la Play Store debido a que “la naturaleza del primer componente no es maliciosa.”

Pasos para protegerse contra este tipo de malware

  • Siempre descargar aplicaciones de desarrolladores confiables y verificados y desde fuentes confiables, como la App Store de Apple o la Play Store de Google.
  • Comprobar siempre los permisos solicitados por la aplicación antes de instalarla. Si alguna pide más de los que en teoría necesitaría, se recomienda encarecidamente no instalarla.
  • Tener un buen antivirus instalado en el dispositivo móvil y tenerlo actualizado para que pueda detectar el malware y eliminarlo.
  • Nunca instalar software procedente de tiendas de terceros, ya que son el principal medio de distribución del malware contra los sistemas móviles.
  • Evitar conectarse a Wi-Fi públicas y no confiables, además de tener esta característica inhabilitada cuando no se vaya a usar.
  • Nunca hacer clic sobre enlaces enviados a través de SMS. Incluso si el mensaje puede parecer legítimo, se recomienda en su lugar abrir el sitio web del origen del mensaje y consultar desde ahí lo que se tenga que hacer.

 

Fuente: The Next Web | muyseguridad