Gamer

Malware in Minecraft-Mods: Die Geschichte geht weiter

Wir haben weitere Modpacks für Minecraft und ein Datenrettungsprogramm in Google Play gefunden, die schädliche Adware enthalten.

Igor Golovin
11 Jun 2021

Obwohl wir vor Kurzem über den Fund von 20 Fake-Apps in Google Play berichtet haben, die als Modpacks für Minecraft getarnt sind – die beliebtesten Apps wurden über eine Million Mal heruntergeladen – taucht immer noch Schadsoftware unter dem Deckmantel von Minecraft in Google Play auf. Anstatt den angebotenen Service zu liefern, verwandeln diese schädlichen Apps die Smartphones der Benutzer in Tools für extrem aufdringliche Werbung.

Anders ausgedrückt, sind die Apps aus der Benutzerperspektive vollkommen nutzlos. Nachdem die App zum ersten Mal geöffnet und geschlossen wird, verschwindet ihr Symbol aus dem Menü des Smartphones. Die App bleibt jedoch auf dem Smartphone und arbeitet im Hintergrund auf Hochtouren: Sie öffnet den Browser und beginnt mit dem Anzeigen von Werbung. Diese Fake-Apps können sogar Videos von YouTube abspielen, Seiten auf Google Play öffnen und vieles mehr. Beispielsweise öffnete die von uns untersuchte Version automatisch alle zwei Minuten ein Browserfenster mit Werbung, wodurch das Handy quasi unbenutzbar gemacht wird. Am lästigsten an dieser Schadware ist, dass die meisten Benutzer große Schwierigkeiten haben herauszufinden was genau passiert ist, welche App dafür verantwortlich ist und wie sie dem Ganzen Einhalt gebieten können.

Wir haben Google über unsere Entdeckung informiert und die Apps wurden schnell aus dem Store entfernt.

Neue Versionen von schädlichen Apps

Die Tatsache, dass die Apps aus Google Play gelöscht wurden, bedeutet allerdings nicht das Ende der Schadware. In der Vergangenheit haben Entwickler ihre Malware nur leicht geändert und dann versucht die Version mit neuem Namen über ein anderes Entwicklerkonto zu veröffentlichen.

Ein Beispiel für recycelte Schad-Apps ist der VK Music-Trojaner, der die Log-in-Daten der Nutzer von VKontakten auslesen kann. Obwohl Google Play über den Vorfall informiert wurde, trieb sich der als App getarnte Trojaner noch viele Jahre in Google Play herum.

Angesichts dessen haben wir den Fall der schädlichen Minecraft-Modpacks in Google Play erneut überprüft, um herauszufinden, ob unsere Berichterstattung nützlich war. Wir begaben uns also auf die Suche nach ähnlichen Apps … und haben einige gefunden.

Neue und verbesserte Versionen

Zuerst fanden wir einige Apps, die nach dem oben erklärten Ansatz erneut in Google eingeschleust wurden, und zwar mit einigen Verbesserungen. Normalerweise akzeptieren diese Apps Push-Nachrichten-Kommandos von den Angreifern. Sie dienen zum Anzeigen von Vollbildwerbung. Außerdem können die Apps ein zusätzliches Modul herunterladen. Durch das heruntergeladene Modul auf dem Handy stehen mehr Funktionen zur Verfügung: Das App-Symbol ausblenden, einen Browser starten, YouTube-Videos abspielen, Seiten auf Google Play öffnen usw.

In diesem Fall enthielt die Liste von kompromittierten Apps, abgesehen von den Minecraft-Mods, ein Datenrettungsprogramm mit dem Namen File Recovery – Recover Deleted Files. Die Version 1.1.0, die bis Februar 2021 auf Google Play heruntergeladen werden konnte, verfügte über eine schädliche Payload. Diese Version wurde entfernt und durch die neue, sichere Version 1.1.1 ersetzt.

Vereinfachte Versionen mit bezahlten Abos in Google Play

Wir haben auch einige Modpacks mit ähnlichen Grundfunktionen gefunden – eine Konfigurierung, die es ermöglicht hin und wieder einige Vollbildwerbungen anzuzeigen, sogar wenn die App inaktiv ist. Das App-Symbol ausblenden, den Browser, YouTube oder Google Play starten können diese Apps allerdings nicht. Dafür wird die Funktion In-App-Käufe verwendet, um mehr Geld einzubringen.

Einer der schädlichen Minecraft-Modpacks in Google Play

Interessanterweise steht derzeit eine App als „Basic-Version“ im Store zur Verfügung, bei der die In-App-Käufe aktiviert sind, obwohl dieselbe App vor einigen Monaten noch mit dem herunterladbaren Modul funktionierte. Daraus schlossen wir, dass die Betreiber der schädlichen App weiter mit verschiedenen Möglichkeiten experimentieren, um mehr Geld herauszuholen.

Version zum Diebstahl von Facebook-Konten

Zusätzlich zu diesen Apps, haben wir auch einige weitere Apps gefunden, dessen Hauptfunktion nicht mit den oben beschriebenen schädlichen Funktionen übereinstimmt. Bis vor nicht allzu langer Zeit war eine gefälschte Version von der Werbenetzwerk-App Madgicx sowie eine Fake-App für Werbeverwaltung in TikTok auf Google Play verfügbar, die kontinuierlich nach den Facebook-Anmeldedaten des Benutzers fragt und die Zugangsdaten stiehlt, sobald die Daten eingegeben werden.

Apps von alternativen Stores

Oft können schädliche Apps auf alternativen Stores heruntergeladen werden, noch lange nachdem sie auf Google Play entfernt wurden. Das ist nicht überraschend, denn selbst Google, mit weit mehr Ressourcen als durchschnittliche Unternehmen, schafft es nicht immer die riesige Menge an Apps zu kontrollieren. Wir wollten diese Tatsache trotzdem hier erwähnen, weil es ein klarer Beweis dafür ist, das alternative Apps-Stores nicht sonderlich sicher sind. Möchten Sie diese Art von App-Stores aus irgend einem Grund trotzdem verwenden, ist es ratsam einen zuverlässigen Virenscanner für Smartphones zu installieren, um sich vor gefährlichen Apps zu schützen.

Wie wir aus diesem Vorfall und vielen anderen Vorfällen, bei denen Malware in den offiziellen App-Store von Google geschleust wurde, lernen können, ist es immer besser das Smartphone mit einem effektiven Virenscanner zu schützen, selbst wenn Sie Ihre Apps nur in Google Play herunterladen.

Lästige Mitteilungen auf Mac ausschalten

Sind Sie die ständigen Mitteilungen auf Ihrem Apple-Computer leid? Wenn ja, dann schalten Sie die Mitteilungen aus!

Tipps

Gleich kommt das (verifizierte) Vögelchen – Fake oder Wirklichkeit?

So unterscheidest du echte Fotos und Videos von Fakes und stellst ihre Herkunft fest

Zu Kaspersky wechseln: Schritt-für-Schritt-Anleitung für die Migration

So stellst du den Cyberschutz deines Computers oder Smartphones auf die am häufigsten ausgezeichnete Kaspersky-Sicherheitslösung um.

Boss oder Betrüger? Betrug, getarnt als Auftrag deines Chefs

Du hast eine Nachricht von deinem Chef oder einem Kollegen erhalten, in der du auf unerwartete Weise aufgefordert wirst, ein Problem zu beheben? Achtung vor Betrügern! Wie schützt du dich und dein Unternehmen vor einem möglichen Angriff?

Mehr Sicherheit für Privatanwender

Sicherheitsunternehmen bieten intelligente Technologien – in erster Linie Kameras – an, um dein Zuhause vor Einbruch, Feuer und anderen Zwischenfällen zu schützen. Aber wie wäre es, diese Sicherheitssysteme selbst vor Eindringlingen zu schützen? Das ist eine Lücke, die wir füllen.

KOSTENLOSE TOOLS

TARGETED SECURITY-LÖSUNGEN

ENTERPRISE SOLUTIONS

Malware in Minecraft-Mods: Die Geschichte geht weiter

Neue Versionen von schädlichen Apps

Neue und verbesserte Versionen

Vereinfachte Versionen mit bezahlten Abos in Google Play

Version zum Diebstahl von Facebook-Konten

Apps von alternativen Stores

Echtzeit-Hacking bei Apex Legends: Skandal in einem E-Sports-Turnier

Mario Forever, auch Malware: ein kostenloses Spiel mit einem Miner und Trojanern

Lästige Mitteilungen auf Mac ausschalten

Tipps

Gleich kommt das (verifizierte) Vögelchen – Fake oder Wirklichkeit?

Zu Kaspersky wechseln: Schritt-für-Schritt-Anleitung für die Migration

Boss oder Betrüger? Betrug, getarnt als Auftrag deines Chefs

Mehr Sicherheit für Privatanwender

Abonnieren Sie uns und bleiben Sie auf dem neuesten Stand mit unseren Beiträgen

LÖSUNGEN FÜR HEIMANWENDER

KLEINE UNTERNEHMEN

MITTLERE UNTERNEHMEN

GROSSE UNTERNEHMEN

Securelist

Eugene Personal Blog

Enzyklopädie