Baptisé FalseGuide par Check Point, ce malware - une nouvelle souche - s'est caché dans plus d'une quarantaine d'applications. De faux guides pour des jeux mobiles populaires comme Pokémon Go, FIFA Mobile, Ninjago Tournament, Hungry Shark World, Slither.io ou encore Shadow Fight 2 et 3.
Avec pour certaines plus de 50 000 installations, ces applications ont trouvé refuge dans le Google Play Store. Selon les chercheurs en sécurité de Check Point, près de 2 millions d'appareils Android ont été infectés.
Le but de FalseGuide serait de créer un botnet d'appareils infectés et de diffuser des publicités frauduleuses permettant aux cybercriminels de générer des revenus, parmi d'autres choses. FalseGuide nécessite d'octroyer des droits administrateur, ce qui est hautement suspect pour un simple guide de jeu.
Le nuisible s'enregistre dans Firebase Cloud Messaging, une plate-forme de messagerie qui permet aux développeurs d'envoyer des notifications. Cela permet à l'attaquant d'envoyer des messages avec des liens malveillants pour des modules supplémentaires.
Après DressCode par exemple, FalseGuide est un nouvel exemple de botnets mobiles qui parviennent à s'immiscer dans le Google Play Store avec un premier composant anodin qui télécharge le véritable code malveillant. Check Point a fait part de ses trouvailles à Google pour lui permettre de faire le ménage.
Encore une fois… une application comme un guide pour des jeux qui demande des droits administrateur, c'est totalement ubuesque. Les applications piégées ont été soumises par de faux développeurs avec des noms à consonance russe.
