Malware in Minecraft-mods: een nieuw hoofdstuk

We hebben op Google Play nog meer Minecraft-modpacks en een hulpprogramma voor bestandsherstel gevonden, die in werkelijkheid schadelijke adware bevatten.

Hoewel we onlangs meldden dat we 20 apps op Google Play hadden gevonden  die vermomd waren als Minecraft-modpacks — de populairste met meer dan een miljoen downloads — blijft er malware met een Minecraft-thema op Google Play opduiken. In plaats van te doen wat ze beweren, veranderen deze apps de smartphones en tablets van gebruikers in extreem opdringerige advertentietools.

Voor de duidelijkheid: de apps waren compleet nutteloos vanuit een gebruikersperspectief. Na de eerste keer opstartten verborgen ze hun pictogrammen en openden ze herhaaldelijk de browser om advertenties weer te geven. Ze konden daarnaast ook onder andere video’s van YouTube afspelen en Google Play-app-pagina’s openen. De versie die wij analyseerden, opende bijvoorbeeld elke twee minuten de browser, waardoor het apparaat in feite onbruikbaar werd. Dit was bijzonder verontrustend, omdat het voor een gebruiker uiterst moeilijk was uit te vinden wat er aan de hand was, welke app verantwoordelijk was voor de problemen en hoe dit gestopt kon worden.

We meldden onze bevindingen aan Google, en de schadelijke apps werden al snel uit de winkel verwijderd.

Nieuwe versies van schadelijke apps

Verwijdering uit de Google Play Store betekent niet meteen dat de malware ook verslagen is; historisch gezien is duidelijk geworden dat de makers simpelweg nieuwe, enigszins gemodificeerde versies uploaden onder andere namen en vanaf andere ontwikkelaarsaccounts.

Eén zo’n voorbeeld zien we bij VK Music Trojan, die VK-gebruikersaccounts stal, en ondanks het feit dat hij werd gerapporteerd, meerdere jaren op Google Play stond.

Daarom hebben we de schadelijke Minecraft-modpacks in Google Play opnieuw bekeken om na te gaan of melding ervan had geholpen. Om die reden begonnen we een zoektocht naar vergelijkebare apps, en we vonden er inderdaad een aantal.

Nieuwe, verbeterde versies

Eerst vonden we verschillende apps die gebruikmaakten van de bovenstaande aanpak, maar dan met een aantal verbeteringen. In een basisscenario accepteren de apps pushbericht-commando’s van de aanvallers om schermvullende advertenties te tonen (geen interactie van de gebruiker vereist). De apps zijn ontworpen om tevens een extra module te downloaden. Als die module is gedownload, komen er meer functies beschikbaar, waardoor de apps hun pictogrammen kunnen verbergen, de browser kunnen starten, YouTube-video’s kunnen afspelen, Google Play-app-pagina’s kunnen openen, enzovoort.

Deze keer bevatte de lijst van gecompromitteerde apps, naast Minecraft-mods, een programma voor bestandsherstel met de naam File Recovery – Recover Deleted Files. Versie 1.1.0, tot februari 2021 beschikbaar op Google Play, bevatte een schadelijke payload. Die versie is inmiddels verwijderd, en versie 1.1.1., die nu op Google Play staat, is wel veilig.

Vereenvoudigde versie met betaald abonnement op Google Play

Ten tweede vonden we een paar Minecraft-modpacks met basisfunctionaliteit, een configuratie waarbij de apps af en toe schermvullende advertenties tonen, zelfs als de app niet actief is, maar niet in staat zijn om hun pictogrammen te verbergen of de browser, YouTube of Google Play te starten. Voor extra monetarisatie wordt de functie voor in-app-aankopen gebruikt.

Een van de schadelijke Minecraft-modpacks op Google Play

Een van de schadelijke Minecraft-modpacks op Google Play

Het is interessant om te zien dat een van de apps nu in de winkel beschikbaar is als een “basisversie” en met in-app-aankopen ingeschakeld, terwijl hij een paar maanden geleden nog afhankelijk was van de extra downloadbare module. Hier kunnen we uit opmaken dat de eigenaars blijven experimenteren met de monetarisatie-opties.

Versie die Facebook-accounts steelt

Ten derde vonden we nog verschillende andere apps waarin de hierboven beschreven schadelijke functionaliteit niet de belangrijkste was. Een tijdje geleden waren er op Google Play bijvoorbeeld een nepadvertentienetwerk-app van Madgicx en een nepadvertentiebeheer-app van TikTok te vinden die gebruikers dringend om hun Facebook-accountgegevens vroegen en die, als de gebruiker deze verstrekte, het account zou stelen.

Apps van alternatieve winkels

Ten slotte blijven veel van dergelijke apps beschikbaar in alternatieve winkels, zelfs nadat Google ze uit zijn winkel heeft verwijderd. Dat is geen verrassing; zelfs Google, met veel meer middelen dan het gemiddelde bedrijf, kan niet altijd tijdig het grote volume van bestaande apps modereren. Toch hebben wij besloten dit aspect hier te vermelden, omdat het duidelijk aantoont dat alternatieve winkels onveilig zijn om te gebruiken. Als u toch van plan bent om ze om wat voor reden dan ook te gebruiken, installeer dan op zijn minst een betrouwbaar mobiel antivirusprogramma om u tegen gevaarlijke apps te beschermen.

Dat gezegd hebbende, zoals we in dit verhaal hebben kunnen zien, net als in de vele andere berichten over malware die de officiële Google-appstore binnenkomt, bent u ook als u alleen via Google Play downloadt beter af met een antivirusoplossing op uw smartphone.

Tips