La empresa de seguridad Checkpoint ha publicado la detección del malware FalseGuide en varias aplicaciones de Google Play Store que se hacían pasar por una serie de guías para aplicaciones con bastante difusión como son Pokémon GO o FIFA Mobile, infectando a un número muy elevado de usuarios.
Todas las aplicaciones infectadas con este malware han sido eliminadas de Play Store aunque no se descarta que puedan descubrirse nuevas aplicaciones infectadas.
Recursos afectados
Usuarios de Android que hayan instalado alguna de las aplicaciones citadas por Checkpoint en en el Apéndice 1 de su aviso.
Solución
Si se ha instalado una aplicación de las características descritas en este aviso de seguridad, lo primero que hay que hacer es desinstalarla. Para estar seguros de que la eliminamos de forma definitiva, podemos hacer una copia de seguridad de nuestro dispositivo y de la información que éste almacena:
Una vez hecha la copia de seguridad, restauraremos el dispositivo a valores de fábrica (dejar el móvil al estado en el que se encontraba cuando se compró), para evitar riesgos tal y como se muestra en este artículo: Antes de vender tu viejo smartphone borra todos sus datos.
Para evitar caer en este tipo de problemas o engaños y acabar instalando en los dispositivos algo que no queremos, hay que tener en cuenta las siguientes recomendaciones:
- Comprobar quién es el desarrollador de la aplicación. Si Pokemon Go es de Niantic, no debemos descargar la aplicación de otro desarrollador. Gran Hermano, es de Mediaset España, si descargamos otra distinta, podemos tener problemas.
- Fijarse en el número de descargas de la app. Si descargamos una aplicación de seguimiento masivo, no puede tener 100 descargas.
- Permisos. Si descargamos una aplicación sobre cómo perder barriga, no tiene sentido darle permisos sobre los SMS o llamadas.
- No fiarse de títulos espectaculares como: “Mira quien te rechazó en Facebook” o “Espía conversaciones de Whatsapp de otros usuarios”.
- Sólo descargar aplicaciones de fuentes fiables, y si es posible solo de tiendas oficiales.
No está de más bloquear los servicios “Premium” o de “tarificación especial” en nuestra línea de móvil. Eso se lo debemos solicitar a nuestro operador de telefonía, he hecho ya hay alguno que no permite ese tipo de servicios.
Detalles
Después de la investigación han determinado que estas aplicaciones llevan desde noviembre de 2016 en la tienda de aplicaciones de Google. Los dispositivos de los usuarios infectados pasaban a formar parte de una botnet cuya función principal era mostrar anuncios para obtener beneficios económicos.
El malware solicitaba permisos administrativos al instalarse para evitar que el usuario lo desinstalara. Además era capaz de descargar otros módulos para realizar funciones distintas a la de mostrar anuncios, como intentar “rootear” el dispositivo, realizar ataques de denegación de servicio (DDOS) o acceder a redes privadas.
Este tipo de aplicaciones, las guías para juegos, son muy comunes para las aplicaciones más mediáticas, ya que se supone que les enseñarán “trucos” y habilidades especiales que mejorará su desempeño.
Según la fuente original se podría estar hablando de 2 millones de usuarios infectados.