El malware para Android es un problema al que el sistema operativo de Google lleva enfrentándose prácticamente desde sus inicios. Casi siempre, este malware llega a los usuarios a través de tiendas de aplicaciones no oficiales, sin embargo, esto no siempre es así, y es que no es la primera vez, ni será la última, que piratas informáticos evaden los sistemas de seguridad de la Play Store y la utilizan para distribuir malware desde ella, como la nueva amenaza FalseGuide.

Hace algunas horas, la empresa de seguridad CheckPoint hacía eco del nuevo malware FalseGuide, un malware que se había colado en la PlayStore haciéndose pasar por guías para más de 40 aplicaciones de cierto prestigio, como Pokemon Go y FIFA Mobile, por ejemplo, y que estaba infectando a miles de usuarios en todo el mundo.

Este malware ha estado publicado en la tienda de aplicaciones de Google durante más de 5 meses, desde noviembre de 2016, sumando cada vez más víctimas, víctimas que, ahora, forman parte de una botnet.

Los piratas informáticos tras esta amenaza optaron por utilizar las “guías de juegos” por dos razones. La primera de ellas es que son unas aplicaciones muy básicas y simples, por lo que no se pierde tiempo al crearlas, centrando los esfuerzos en el desarrollo del malware y en ocultarlo para evadir las medidas de seguridad de la Play Store. En segundo lugar, estas aplicaciones son muy populares y están muy extendidas, por lo que el número de víctimas potenciales es muy elevado.

Lo que no podemos explicarnos es cómo Google es tan radical para bloquear algunas aplicaciones OpenSource que no le gustan y tan permisiva con otras aplicaciones que esconden malware en su interior.

Más de 2 millones de usuarios infectados por FalseGuide que ahora forman parte de una botnet

Nada más descubrir la amenaza se creía que el número de usuarios infectados por este malware era de 600.000, sin embargo, un análisis en profundidad descubrió muchas otras aplicaciones publicadas en la Play Store, situando el número de usuarios infectados en más de 2 millones.

Como hemos dicho, la principal finalidad de este malware es crear una red de dispositivos zombie, botnet, utilizada principalmente con fines publicitarios. De esta manera, los piratas informáticos envían adware a los dispositivos infectados que, poco a poco, les van generando sus ingresos. En un principio, este malware hace solo eso, y en ningún momento supone un peligro para la seguridad.

En el siguiente enlace de CheckPoint tenemos la lista completa con las aplicaciones infectadas por este malware. Todas estas aplicaciones pedían un permiso especial, permiso administrativo, en los dispositivos, hecho que ya debería levantar la primera sospecha de que hay algo oculto en estas aplicaciones. Si se le concede este permiso, utiliza técnicas para ocultar su presencia y no levantar más sospechas. A partir de ahí, se registra en Firebase Cloud Messaging a través del que recibe enlaces maliciosos para descargar módulos y continuar con la infección.

Una vez completada, el malware empieza a mostrar anuncios en los dispositivos infectados, aunque, según el tipo de dispositivo y los permisos del mismo (por ejemplo, si es root o no) también puede utilizarse para realizar ataques DDoS o tomar el control de redes privadas.

Cómo eliminar FalseGuide

Por suerte, no se han detectado indicios de persistencia de este malware, por lo que, en la mayoría de los casos, deshabilitando los permisos administrativos de la aplicación y eliminándola probablemente quedemos asegurados. Sin embargo, para mayor seguridad, es recomendable restablecer los valores de fábrica del dispositivo para asegurarnos de que todo ha quedado correctamente eliminado.

Además, si tenemos permisos de root, por si acaso el malware se ha convertido en una aplicación del sistema, es recomendable formatear la partición “system” de nuestro dispositivo y volver a instalar desde cero la rom de nuestro dispositivo Android.

¿Qué opinas de este malware? ¿Crees que Google no debería cometer estos fallos en el proceso de verificación de aplicaciones para la Play Store?