นักวิจัยด้านความมั่นคงปลอดภัยจาก Check Point ออกมาเป็นเผยถึงมัลแวร์ชนิดใหม่ ชื่อว่า FalseGuide ปลอมตัวเป็นคู่มือเกมชื่อดังต่างๆ ใน Google Play Store ไม่ว่าจะเป็น Pokemon Go หรือ FIFA Mobile พบมีเหยื่อเผลอดาวน์โหลดไปแล้วกว่า 2 ล้านคนทั่วโลก
Check Point เชื่อว่า FalseGuide เวอร์ชันแรกสุดถูกอัปโหลดขึ้น Google Play เมื่อเดือนกุมภาพันธ์ที่ผ่านมา และแพร่กระจายตัวไปยังอุปกรณ์ Android กว่า 600,000 เครื่องภายในระยะเวลาเพียง 2 เดือน อย่างไรก็ตาม หลังจากที่ทำการวิเคราะห์ลงลึกไปมากขึ้น พบว่าแท้ที่จริงแล้ว FalseGuide เวอร์ชันเก่าสุดแฝงตัวอยู่ใน Google Play ตั้งแต่เดือนพฤศจิกายน 2016 ที่ผ่านมา รวมระยะเวลานานกว่า 5 เดือนจนถึงปัจจุบัน และมีผู้ติดมัลแวร์ไปแล้วกว่า 2,000,0000 คน
Check Point ระบุว่า มัลแวร์ False Guide จะพยายามเปลี่ยนอุปกรณ์ให้กลายเป็น Botnet เพื่อให้แฮ็คเกอร์สามารถเข้าควบคุมอุปกรณ์ได้โดยที่ผู้ใช้ไม่รู้ตัว โดยหลังจากที่ผู้ใช้เผลอโหลดแอพพลิเคชันที่มี FalseGuide แฝงตัวอยู่ลงบนอุปกรณ์ Android ของตนแล้ว False Guide จะร้องขอสิทธิ์ระดับ Admin เพื่อป้องกันไม่ให้ผู้ใช้ลบตัวเองออก จากนั้นจะลงทะเบียนตัวเองเข้ากับ Firebase Cloud Messaging เพื่อติดต่อสื่อสารกับแฮ็คเกอร์ จากนั้นแฮ็คเกอร์จะส่งข้อความที่มีลิงค์มัลแวร์อื่นแฝงอยู่เข้ามาติดตั้งบนอุปกรณ์ของผู้ใช้ เพื่อให้คอยเด้งหน้าจอโฆษณาเพื่อสร้างรายได้ให้แก่แฮ็คเกอร์ นอกจากนี้แฮ็คเกอร์ยังสามารถส่งโค้ดแปลกปลอมเข้ามาเพื่อเข้าควบคุมเครื่องโดยมีสิทธิเป็น Root หรือใช้อุปกรณ์ไปโจมตีแบบ DDoS ได้อีกด้วย
รายชื่อแอพพลิเคชันที่มีมัลแวร์ False Guide แฝงตัวอยู่ประกอบด้วยคู่มือเกม FIFA Mobile, Criminal Case, Super Mario, Subway Surfers, Pokemon Go, Lego Nexo Knights, Lego City My City, Ninjago Tournament, Rolling Sky, Amaz3ing Spider-Man, Drift Zone 2, Dream League Soccer และอื่นๆ อีกมากมาย Check Point ได้รายงานเรื่องนี้ไปยัง Google ซึ่งก็ลบแอพพลิเคชันเหล่านี้ออกไปหมดแล้ว แต่ยังคงมีอุปกรณ์เป็นจำนวนมากที่ยังคงติดมัลแวร์นี้อยู่
Check Point สงสัยว่าผู้ที่อยู่เบื้องหลังมัลแวร์ FalseGuide คือแฮ็คเกอร์ชาวรัสเซีย เนื่องจากค้นพบแอพพลิเคชันไม่น้อยกว่า 5 รายการบน Google Play ที่มีมัลแวร์แฝงตัวอยู่ โดยแอพพลิเคชันเหล่านั้นถูกพัฒนาในนาม Anatoly Khmelenko (แปลมาจากภาษารัสเซีย Анатолий Хмеленко) นอกจากนี้ แอพพลิเคชันชุดแรกที่มีฝัง FalseGuide ไว้ยังถูกส่งเข้าไปใน Google Play โดยใช้นักพัฒนาที่ใช้ชื่อปลอม 2 คน คือ Sergei Vernik และ Nikolai Zalupkin ซึ่งต่างเป็นชื่อภาษารัสเซียทั้งคู่
ที่มา: http://thehackernews.com/2017/04/android-malware-playstore.html