Примерно 600 тысяч пользователей скачали за последнее время вредоносное приложение из официального магазина Google Play на Android. Эта программа пытается создать ботнет для доставки мобильной рекламы и заработка на этом.
Программа получила от специалистов компании Check Point название FalseGuide, она скрыта более чем в 40 фальшивых руководствах для популярных игр, таких как Pokemon GO и FIFA Mobile. Самое старое из этих руководств появилось в магазине 14 февраля. Некоторые были скачаны более 50 тысяч раз.
Вредоносное ПО проникает в Google Play далеко не впервые, ранее программы вроде Viking Horde и DressCode также создавали ботнеты. Когда FalseGuide скачивается на устройство, программа требует права администратора, чтобы пользователь не мог удалить её. Уже это наводит на мысль о вредоносных намерениях. После установки программа регистрируется в кроссплатформенном сервисе Firebase Cloud Messaging, который позволяет разработчикам рассылать уведомления и сообщения с тем же заголовком, что и у руководств, вроде Guide for Pokemon Go.
При помощи Firebase программа FalseGuide способна скачивать на инфицированное устройство дополнительные модули. Сервис запускается при загрузке устройства и начинает показывать рекламу. Помимо рекламы, ботнет способен проводить DDoS-атаки и заражать частные сети.
Программе приписывают российское происхождение. Check Point уведомила Google ещё в феврале, после чего приложения были убраны из магазина, однако на смену им в начале апреля пришли другие, снова устранённые усилиями Check Point и Google. Несмотря на это, ботнет FalseGuide наверняка продолжает работать.
Уже после написания этой новости появилась вторая, в которой число инфицированных устройств оценивается в 2 млн., а наиболее старое приложение из числа найденных загружено в прошлом ноябре.